El plugin Elementor ImageBox para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget de cuadro de imagen en todas las versiones hasta, e incluyendo, la 1.2.8 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-3074 en el plugin Elementor ImageBox puede ser explotada por atacantes autenticados con al menos acceso de contribuidor para comprometer la seguridad de un sitio WordPress. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible (1.2.9 o posterior) que aborda este problema de seguridad. Además, es importante educar a los usuarios sobre las mejores prácticas de seguridad en la gestión de plugins y validar siempre la procedencia y seguridad de los mismos antes de su instalación.
Es fundamental que los administradores de sitios web WordPress estén al tanto de las vulnerabilidades en los plugins y tomen medidas proactivas para proteger sus sitios. La actualización regular de plugins y la implementación de medidas de seguridad adicionales pueden ayudar a prevenir ataques de Cross-Site Scripting y proteger la integridad y confidencialidad de los datos de los usuarios.