El complemento All-in-One Addons for Elementor – WidgetKit para WordPress es vulnerable a Cross-Site Scripting almacenado a través de varios widgets de precios en todas las versiones hasta, e incluyendo, 2.4.8 debido a una sanitización insuficiente de la entrada y escape de salida.
La vulnerabilidad CVE-2024-2137 permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada. Para mitigar este problema, se recomienda a los usuarios actualizar el complemento a la última versión disponible, en este caso, la 2.4.9. Además, se sugiere restringir el acceso de los usuarios con roles de contribuidor y superiores para limitar las posibilidades de explotación de esta vulnerabilidad.
Es imprescindible que los administradores de WordPress estén al tanto de las vulnerabilidades en los complementos que utilizan y tomen medidas proactivas para proteger sus sitios web. Mantener actualizados los complementos y limitar los privilegios de los usuarios son pasos clave para garantizar la seguridad del sitio.