La vulnerabilidad CVE-2024-9444 describe un problema de Cross-Site Scripting almacenado que afecta al plugin ElementsReady Addons para Elementor en versiones hasta la 6.4.3. Esta vulnerabilidad permite a atacantes autenticados con acceso de Autor o superior inyectar scripts web arbitrarios en páginas a través de la carga de archivos SVG.
La falta de saneamiento de la entrada y de escape de la salida en el plugin ElementsReady Addons para Elementor facilita la ejecución de scripts maliciosos en las páginas del sitio web objetivo. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la versión más reciente del plugin tan pronto como esté disponible. Además, se aconseja a los administradores del sitio restringir el acceso de los autores y otros roles de usuario a funcionalidades que involucren la carga de archivos, y llevar a cabo una inspección exhaustiva de los archivos SVG existentes en busca de posibles scripts maliciosos.
Es fundamental estar al tanto de las vulnerabilidades de seguridad en los plugins de WordPress y tomar medidas proactivas para proteger los sitios web de posibles ataques. Al mantener sus plugins actualizados y seguir buenas prácticas de seguridad, los usuarios pueden reducir significativamente el riesgo de comprometer la integridad y la privacidad de su sitio.