La vulnerabilidad CVE-2024-12328 en MAS Elementor plugin para WordPress permite a atacantes autenticados con nivel de Author o superior realizar Cross-Site Scripting a través de archivos SVG.
El plugin MAS Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.1.7 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite que atacantes autenticados, con acceso de nivel Author o superior, inyecten scripts web arbitarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin MAS Elementor a la versión más reciente disponible, revisar y limitar los permisos de los usuarios con acceso al sistema, y mantener un monitoreo constante de las actividades sospechosas en el sitio web.