El plugin Premium Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la URL de configuración de imágenes de los widgets Banner, Team Members e Image Scroll en todas las versiones hasta la 4.10.21, lo que permite a atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página infectada.
La vulnerabilidad (CVE-2024-1680) se debe a una sanitización insuficiente de la entrada y escape de la salida en los widgets mencionados. Para protegerse de esta amenaza, los usuarios deben actualizar el plugin a la última versión disponible, en la que se han implementado medidas de seguridad adicionales. Además, se recomienda a los administradores del sitio limitar los permisos de los usuarios con roles de contribuidor o superior para reducir el riesgo de explotación.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para mitigar posibles vulnerabilidades de seguridad. La concienciación y la implementación de buenas prácticas de seguridad, como la limitación de permisos y la realización de copias de seguridad regulares, son clave para proteger un sitio web de posibles ataques.