El plugin Prime Slider – Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘title_tags’ del widget Fiestar en todas las versiones hasta, e incluyendo, 3.13.1 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-1506 permite a un atacante autenticado con privilegios de contributor o superiores explotar la función ‘title_tags’ del widget Fiestar para inyectar código malicioso en páginas y ejecutar scripts en el navegador de los usuarios. Los usuarios afectados deben actualizar el plugin Prime Slider – Addons For Elementor a la última versión disponible (superior a 3.13.1) para mitigar este riesgo de seguridad. Además, se recomienda a los administradores del sitio restringir aún más los privilegios de los usuarios para limitar el impacto de posibles ataques.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para protegerse contra vulnerabilidades de seguridad como este caso de Cross-Site Scripting en Prime Slider – Addons For Elementor. La práctica de aplicar parches regularmente y configurar adecuadamente los permisos de los usuarios puede ayudar a prevenir estos tipos de ataques en el futuro.