El plugin 140+ Widgets | Xpro Addons For Elementor – FREE para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado a través del widget Post Grid en todas las versiones hasta y incluyendo la 1.4.4.3, lo que permite a atacantes autenticados inyectar scripts web arbitrarios en páginas para ejecutarse cuando un usuario accede a dicha página.
La vulnerabilidad CVE-2024-7791 reside en el parámetro ‘flecha’ del widget Post Grid, debido a una sanitización insuficiente de la entrada y escape del output. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso superior a la 1.4.4.3. Asimismo, se aconseja a los administradores de sitios web que limiten el acceso de los usuarios con privilegios de Contribuidor y superiores para reducir el riesgo de explotación de la vulnerabilidad.
Es crucial mantener actualizados todos los plugins y temas de WordPress para evitar posibles problemas de seguridad como este. Implementar buenas prácticas de gestión de usuarios y permisos también es esencial para reforzar la seguridad de un sitio web.