El plugin Exclusive Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘exad_infobox_animating_mask_style’ en todas las versiones hasta, e incluyendo, la 2.6.9.2 debido a una validación inadecuada de la entrada y escape insuficiente de la salida. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad pueden tomar varias medidas para mitigar el riesgo de explotación. Primero, se recomienda actualizar el plugin Exclusive Addons for Elementor a la versión más reciente disponible, ya que el equipo de desarrollo es probable que haya parcheado esta vulnerabilidad. Además, se debe monitorear de cerca cualquier actividad inusual en el sitio web y revisar regularmente el código de los complementos instalados para detectar posibles vulnerabilidades.
Es fundamental que los administradores de sitios web se mantengan al día con las actualizaciones de seguridad y practiquen una buena higiene cibernética para proteger sus sitios de posibles ataques. Al tomar medidas proactivas para asegurar la integridad de los complementos y monitorear de cerca la actividad de los usuarios autenticados, se puede reducir significativamente el riesgo de ser víctima de un ataque de Cross-Site Scripting como el descrito en esta publicación.