La vulnerabilidad CVE-2024-4489 en el plugin Royal Elementor Addons y Templates para WordPress permite a atacantes autenticados inyectar scripts maliciosos en páginas web.
La versión 1.3.976 y anteriores del plugin son vulnerables al Cross-Site Scripting almacenado a través de la función ‘custom_upload_mimes’ debido a una insuficiente sanitización de entradas y escapado de salidas. Esto facilita que atacantes autenticados, con permisos de nivel de contribuidor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible y mantener un monitoreo constante de posibles actividades sospechosas en su sitio web.