El plugin Cowidgets – Elementor Addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.2.0 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
La vulnerabilidad CVE-2024-8960 en el plugin Cowidgets – Elementor Addons es crítica ya que los atacantes pueden aprovecharla para ejecutar código malicioso en el lado del cliente, lo que puede llevar a la compromisión de la seguridad del sitio web. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como esté disponible. Además, se debe limitar el acceso de los usuarios con roles de Autor y superior que pueden cargar archivos SVG y se deben implementar medidas de seguridad adicionales como firewalls de aplicaciones web para detectar y bloquear ataques de XSS.
Es crucial que los administradores de WordPress tomen en serio las vulnerabilidades de seguridad como la encontrada en Cowidgets – Elementor Addons y tomen medidas proactivas para proteger sus sitios. Mantener los plugins actualizados y restringir el acceso a funciones sensibles son pasos fundamentales en la prevención de ataques de Cross-Site Scripting y otras amenazas cibernéticas.