La vulnerabilidad CVE-2024-2092 permite a atacantes autenticados con permisos de nivel contribuidor o superior inyectar scripts maliciosos en páginas web utilizando el Widget de Twitter del plugin Elementor Addon Elements.
El plugin Elementor Addon Elements para WordPress es vulnerable a Cross-Site Scripting almacenado a través del Widget de Twitter en todas las versiones hasta, e incluyendo, la 1.13.3 debido a una sanitización insuficiente de la entrada y escape de salida en atributos suministrados por el usuario. Esto permite a los atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin Elementor Addon Elements a la última versión disponible y tener precaución al utilizar atributos suministrados por usuarios en widgets y elementos del sitio web para evitar la inyección de scripts maliciosos.