La vulnerabilidad CVE-2024-4668 en el plugin Gum Elementor Addon para WordPress permite a atacantes autenticados con nivel de acceso de contribuidor o superior, inyectar scripts web maliciosos en páginas mediante los widgets de Price Table y Post Slider.
La falta de sanitización de entrada y escape de salida en atributos suministrados por usuarios en las versiones anteriores a 1.3.4, facilita la inyección de scripts web arbitrarios. Esto significa que un atacante podría ejecutar scripts maliciosos en páginas afectadas, que se activarán cada vez que un usuario acceda a dicha página.
Para mitigar el riesgo de esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Gum Elementor Addon tan pronto como esté disponible. Además, se debe evitar otorgar accesos de contribuidor o superiores a usuarios no confiables para reducir la superficie de ataque.