Recopilación de vulnerabilidades WordPress.

Vulnerabilidad de Cross-Site Scripting en Premium Addons for Elementor <= 4.10.60 a través del Widget de Video Box

La vulnerabilidad CVE-2024-10266 encontrada en el plugin Premium Addons for Elementor para WordPress permite a atacantes autenticados con nivel de contribuidor o superior realizar ataques de Cross-Site Scripting almacenado a través del widget de Video Box.

El plugin Premium Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget de Video Box en todas las versiones hasta, e incluyendo, la 4.10.60 debido a una sanitización insuficiente de la entrada y a la falta de escape en la salida de los atributos proporcionados por el usuario. Esto permite a los atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Premium Addons for Elementor a la última versión disponible y mantenerse al tanto de las actualizaciones de seguridad. Además, se insta a los usuarios a ser cautelosos al permitir el acceso de contribuidores y roles superiores en sus sitios WordPress, limitando el acceso a usuarios confiables y de confianza.

Related Article