El plugin The Plus Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘_id’ del widget Header Meta Content en todas las versiones hasta, e incluyendo, la 5.4.0 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel contribuyente y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-1419 en The Plus Addons for Elementor <= 5.4.0 permite a un atacante con credenciales de contribuyente o superior insertar código malicioso en las páginas del sitio web. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin afectado a la última versión disponible. Además, se sugiere a los administradores del sitio implementar medidas de seguridad adicionales, como la limitación de los privilegios de los usuarios y la monitorización regular de posibles actividades sospechosas en el sitio.
Es crucial que los usuarios de The Plus Addons for Elementor actualicen a la versión más reciente para evitar ser víctimas de un ataque de Cross-Site Scripting. La mejora en la sanitización de la entrada de datos y el escape de salida puede prevenir la ejecución de scripts maliciosos en las páginas del sitio.