La vulnerabilidad CVE-2024-2799 permite a atacantes autenticados (Contributor+) ejecutar scripts maliciosos en páginas web creadas con el plugin Royal Elementor Addons and Templates para WordPress.
El plugin Royal Elementor Addons and Templates para WordPress es vulnerable a Cross-Site Scripting almacenados a través de las etiquetas HTML en los widgets Image Grid & Advanced Text en todas las versiones hasta, e incluyendo, la 1.3.96 debido a una insuficiente sanitización de la entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuyente y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Royal Elementor Addons and Templates a la versión 1.3.971 o posterior, además de ser cautelosos al permitir el acceso de contribuyentes y asegurarse de que los plugins instalados provengan de fuentes confiables.