La vulnerabilidad CVE-2024-2028 afecta al plugin Exclusive Addons for Elementor en versiones anteriores a la 2.6.9, permitiendo a atacantes autenticados con nivel de colaborador o superior realizar ataques de Cross-Site Scripting almacenado a través del Widget de Estadísticas de Covid-19.
La falta de sanitización de la entrada y escape de la salida en el plugin Exclusive Addons for Elementor facilita a los atacantes la inyección de scripts web arbitrarios en las páginas, los cuales se ejecutarán cuando un usuario acceda a dicha página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Exclusive Addons for Elementor a la versión 2.7.0 o superior. Además, se sugiere ser cuidadosos al otorgar permisos de colaborador o nivel superior a los usuarios en WordPress para reducir el riesgo de ataques.