El plugin ElementsKit Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Creative Button del plugin en todas las versiones hasta la 3.6.0 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada.
Se recomienda a los usuarios actualizar a la última versión del plugin ElementsKit Pro (superior a 3.6.0) para mitigar el riesgo de esta vulnerabilidad, además de monitorear y revisar regularmente los permisos de los usuarios para limitar el acceso y reducir el riesgo de ataques. Asimismo, se debe educar a los usuarios sobre la importancia de no confiar ciegamente en contenido suministrado por terceros.