El plugin Elementor Website Builder Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Media Carousel en todas las versiones hasta, e incluyendo, la 3.20.1 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de nivel contribuidor o superior inyectar secuencias de comandos web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben asegurarse de actualizar el plugin Elementor Website Builder Pro a la versión 3.20.2 o posterior tan pronto como sea posible. Además, se recomienda a los administradores de sitios web llevar a cabo una revisión completa de las páginas afectadas en busca de contenido malicioso inyectado y limpiar cualquier script sospechoso. Asimismo, se aconseja a los desarrolladores de plugins seguir las mejores prácticas de seguridad al manipular entradas de usuario para evitar este tipo de vulnerabilidades en el futuro.
La importancia de mantener actualizados los plugins y seguir buenas prácticas de seguridad al desarrollar y administrar un sitio web WordPress no puede subestimarse. Con la debida diligencia y atención a la seguridad, es posible mitigar el riesgo de ataques de Cross-Site Scripting y otras amenazas cibernéticas.