La vulnerabilidad CVE-2024-0376 afecta al plugin Premium Addons for Elementor en versiones anteriores a la 4.10.16, permitiendo a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas web.
La vulnerabilidad de Cross-Site Scripting (XSS) se produce debido a una falta de saneamiento de la entrada y de escape de la salida en las URL suministradas por los usuarios al utilizar el Widget de Enlace de Envoltorio del plugin. Esto puede llevar a que los atacantes inyecten scripts web arbitrarios que se ejecutarán cuando un usuario acceda a la página comprometida. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso a la versión 4.10.17, que soluciona este problema de seguridad.
Mantener actualizados los plugins y temas de WordPress es fundamental para proteger tu sitio web de posibles vulnerabilidades de seguridad. Además, se debe tener cuidado al otorgar permisos avanzados a usuarios en el sitio, limitando el acceso solo a aquellos que realmente lo necesiten para evitar posibles ataques.