La vulnerabilidad CVE-2024-2784, denominada ‘Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)’, afecta al plugin The Plus Addons for Elementor en versiones hasta la 5.5.4. Se trata de una vulnerabilidad de Cross-Site Scripting almacenado que permite a atacantes autenticados inyectar scripts maliciosos en páginas web.
La vulnerabilidad radica en la falta de sanitización de la entrada de usuario y en la escapada de la salida en los atributos suministrados por el usuario. Esto permite a atacantes autenticados con nivel de acceso de colaborador o superior inyectar scripts web arbitrarios en las páginas, los cuales se ejecutarán cada vez que un usuario acceda a la página modificada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin The Plus Addons for Elementor a la última versión disponible. Además, se aconseja a los administradores del sitio web limitar el acceso de los usuarios y supervisar de cerca cualquier actividad sospechosa en la plataforma.