La vulnerabilidad CVE-2024-1498 en el plugin Happy Addons for Elementor para WordPress permite a atacantes autenticados realizar ataques de Cross-Site Scripting a través del widget Photo Stack, poniendo en riesgo la seguridad de los sitios web que lo utilizan.
El plugin Happy Addons for Elementor para WordPress es vulnerable a ataques de Cross-Site Scripting almacenado a través del widget Photo Stack en todas las versiones hasta, e incluyendo, la 3.10.3 debido a una insuficiente sanitización de entradas y escape de salidas en atributos suministrados por el usuario. Esto permite a atacantes autenticados con permisos de nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán siempre que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Happy Addons for Elementor a la última versión disponible y estar atentos a futuras actualizaciones de seguridad. Además, se insta a los usuarios a limitar los permisos de los roles de usuario en WordPress para reducir el impacto de posibles ataques de Cross-Site Scripting.