La vulnerabilidad CVE-2024-2666 encontrada en el plugin Premium Addons for Elementor para WordPress, permite a atacantes autenticados inyectar scripts maliciosos en páginas web.
El plugin Premium Addons for Elementor en versiones hasta la 4.10.24 es vulnerable a un tipo de ataque denominado DOM-Based Stored Cross-Site Scripting a través del Widget de Listas de Viñetas del plugin. Esta vulnerabilidad se debe a una insuficiente sanitización de la entrada de usuario y escapado de la salida en atributos suministrados por los usuarios. Los atacantes autenticados con nivel de acceso contribuidor o superior pueden aprovechar esta vulnerabilidad para inyectar scripts web maliciosos en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada e intente editar el contenido.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Premium Addons for Elementor a la última versión disponible lo más pronto posible. Además, se deben evitar los privilegios de contribuidor a usuarios no confiables para reducir el riesgo de explotación de esta vulnerabilidad.