El plugin Blog, Posts and Category Filter for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Post and Category Filter en todas las versiones hasta, e incluyendo, la 1.0.3 debido a una insuficiente sanitización de la entrada y escape de salida en el atributo ‘post_types’ suministrado por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuyente o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-4667, denominada Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’), afecta al plugin Blog, Posts and Category Filter for Elementor en todas las versiones hasta la 1.0.3. Para mitigar este problema, los usuarios pueden actualizar a la última versión disponible del plugin, en este caso la 1.0.4, la cual corrige esta vulnerabilidad. Además, se recomienda a los usuarios no confiar únicamente en la seguridad por defecto de los plugins y siempre mantener sus instalaciones de WordPress y plugins actualizadas.
Es fundamental que los administradores de sitios web de WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen medidas inmediatas para proteger sus sitios. La actualización regular de plugins y la atención a las alertas de seguridad son prácticas esenciales para garantizar la seguridad de un sitio web.