La vulnerabilidad CVE-2024-2492 encontrada en el plugin PowerPack Addons for Elementor para WordPress permite a atacantes autenticados inyectar scripts maliciosos en páginas web a través del widget de Twitter Tweet.
El plugin PowerPack Addons for Elementor hasta la versión 2.7.18 es vulnerable a Cross-Site Scripting almacenado debido a una insuficiente sanitización de entrada y escapado de salida. Esto posibilita a atacantes autenticados, con nivel de acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada.
Se recomienda a los usuarios de PowerPack Addons for Elementor actualizar a la última versión disponible, en la que se haya corregido esta vulnerabilidad. Además, se debe tener cuidado al permitir a usuarios con privilegios de colaborador o superiores la capacidad de agregar contenido con scripts, y se debe revisar y validar adecuadamente toda la entrada de los usuarios antes de mostrarla en el sitio web.