La vulnerabilidad CVE-2024-6575 en el plugin The Plus Addons for Elementor permite a atacantes autenticados con acceso de nivel Contributor y superior, inyectar scripts web arbitrarios en páginas, lo que puede producir consecuencias maliciosas al ser ejecutados por los usuarios al acceder a estas páginas.
El plugin The Plus Addons for Elementor en su versión 5.6.2 y anteriores es vulnerable a un ataque de Cross-Site Scripting almacenado a través del parámetro ‘res_width_value’ dentro del widget tp_page_scroll del plugin. Esta vulnerabilidad se debe a una insuficiente sanitización de la entrada y escape de la salida, lo que permite a los atacantes autenticados ejecutar scripts web arbitrarios en las páginas del sitio. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin que contemple una corrección para esta vulnerabilidad.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para evitar posibles vulnerabilidades de seguridad. En el caso de The Plus Addons for Elementor, se recomienda a los usuarios actualizar a la versión 5.6.3 o posterior para protegerse contra este tipo de ataques de Cross-Site Scripting almacenado.