La vulnerabilidad CVE-2024-2803 en ElementsKit Elementor addons permite a atacantes inyectar scripts maliciosos en páginas web, poniendo en riesgo la seguridad de los usuarios de WordPress.
El plugin ElementsKit Elementor addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget de cuenta regresiva en todas las versiones hasta la 3.0.6 debido a una insuficiente sanitización de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión disponible del plugin ElementsKit Elementor addons y evitar dar privilegios de contribuidor o superiores a usuarios no confiables en sus sitios de WordPress.