La vulnerabilidad de Cross-Site Scripting en el plugin Premium Addons for Elementor para WordPress permite a atacantes autenticados con acceso de nivel contribuidor o superior inyectar scripts web maliciosos en páginas vulnerables.
La versión 4.10.28 y anteriores del plugin Premium Addons for Elementor presentan una vulnerabilidad de Cross-Site Scripting almacenado a través del widget de ticker de publicaciones del plugin, debido a una sanitización insuficiente de la entrada y escapado de la salida en los atributos proporcionados por los usuarios. Esto permite a atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página vulnerable.
Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin Premium Addons for Elementor y evitar la inserción de contenido no confiable en los widgets del plugin. Además, se aconseja realizar auditorías de seguridad regulares en el sitio web para identificar posibles vulnerabilidades y proteger la integridad de la plataforma WordPress.