La vulnerabilidad CVE-2024-1508 permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts maliciosos en páginas web a través del atributo ‘settings[‘title_tags’]’ del widget Mercury en el plugin Prime Slider – Addons For Elementor para WordPress.
La falta de saneamiento de entradas y escape de salidas en la versión 3.13.2 y anteriores de este plugin, facilita la inyección de scripts web arbitrarios. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión disponible del plugin Prime Slider – Addons For Elementor (superior a 3.13.2) y revisar regularmente las configuraciones de seguridad de su sitio WordPress para protegerse de posibles ataques de Cross-Site Scripting.
Es fundamental que los administradores de sitios web que utilicen el plugin Prime Slider – Addons For Elementor estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger sus sitios y usuarios de posibles consecuencias adversas.