La vulnerabilidad CVE-2024-2084 permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas web utilizando el plugin HT Mega – Absolute Addons For Elementor en versiones hasta 2.4.6.
El plugin HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget lightbox del plugin en todas las versiones hasta, e incluyendo, la 2.4.6 debido a una insuficiente sanitización de entrada y escape de salida en los atributos suministrados por el usuario. Esto permite que los atacantes autenticados con permisos de contribuidor o superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada.
Se recomienda a los usuarios del plugin HT Mega – Absolute Addons For Elementor actualizar a la última versión disponible lo antes posible para mitigar el riesgo de ataques de Cross-Site Scripting. Además, se recomienda no hacer clic en enlaces sospechosos o provenientes de fuentes desconocidas para evitar la ejecución de scripts maliciosos en sus sitios web.