El plugin Elementor Addons, Widgets and Enhancements – Stax para WordPress ha sido identificado con una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que afecta a las versiones hasta la 1.4.4.1. Esta vulnerabilidad permite a atacantes autenticados con niveles de acceso de colaborador o superiores inyectar scripts web maliciosos en páginas, los cuales se ejecutarán cuando un usuario acceda a la página inyectada.
La vulnerabilidad CVE-2024-3064 se debe a la falta de sanitización suficiente de la entrada y la falta de escapado de la salida en los atributos suministrados por el usuario en los widgets de ‘Heading’ del plugin. Esto posibilita que un atacante con acceso de colaborador o superior pueda insertar scripts web arbitrarios en páginas creadas con el plugin, lo que representa un riesgo para la seguridad de los sitios web construidos con WordPress y utilizando este plugin.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Elementor Addons, Widgets and Enhancements – Stax a la última versión disponible que contenga un parche de seguridad. Asimismo, se aconseja a los administradores de sitios web WordPress mantener siempre sus plugins actualizados y estar atentos a los avisos de seguridad emitidos por los desarrolladores de plugins para protegerse contra posibles amenazas de seguridad.