La vulnerabilidad CVE-2024-4697 identificada en el plugin Cowidgets – Elementor Addons para WordPress permite a atacantes autenticados de nivel contributor y superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a esa página.
El plugin Cowidgets – Elementor Addons hasta la versión 1.1.1 es vulnerable a Cross-Site Scripting (XSS) almacenado a través del parámetro ‘heading_tag’ debido a una insuficiente sanitización de la entrada y escape de salida. Como solución, los usuarios deben actualizar el plugin a la última versión disponible, que soluciona este problema. Además, se recomienda a los administradores del sitio restringir el acceso a usuarios de confianza para evitar posibles ataques.
La correcta actualización de plugins y la gestión de permisos de usuario son medidas clave para proteger un sitio WordPress de vulnerabilidades como el Cross-Site Scripting. Es fundamental estar al tanto de las actualizaciones de seguridad y adoptar buenas prácticas de gestión de plugins para mantener la integridad de un sitio web.