La vulnerabilidad CVE-2024-3645 afecta al plugin Essential Addons for Elementor Pro, permitiendo a atacantes autenticados (Contributor+) realizar ataques de Cross-Site Scripting almacenado a través del atributo ‘title_html_tag’.
El plugin Essential Addons for Elementor Pro en versiones anteriores a la 5.8.11 no realiza una adecuada sanitización de entrada y escape de salida en atributos proporcionados por el usuario, como ‘title_html_tag’. Esto permite a atacantes autenticados con acceso de contribuidor o superior, inyectar scripts web arbitrarios en las páginas, lo que se ejecutará cada vez que un usuario acceda a una página afectada.
Se recomienda a los usuarios actualizar el plugin Essential Addons for Elementor Pro a la última versión disponible para evitar posibles ataques de Cross-Site Scripting. Además, se recomienda a los desarrolladores de plugins implementar medidas adecuadas de sanitización de entrada y escape de salida para prevenir vulnerabilidades de seguridad.