La vulnerabilidad CVE-2024-1398 permite a atacantes autenticados con permisos de colaborador o superiores inyectar scripts maliciosos en páginas web utilizando el plugin Ultimate Bootstrap Elements for Elementor en versiones hasta 1.3.6.
El plugin Ultimate Bootstrap Elements for Elementor para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través de los parámetros ‘heading_title_tag’ y ‘heading_sub_title_tag’ en todas las versiones hasta la 1.3.6 debido a una sanitización insuficiente de la entrada y escape insuficiente de la salida. Esto permite a atacantes autenticados con permisos de colaborador o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Ultimate Bootstrap Elements for Elementor y mantener todas las extensiones y temas actualizados regularmente. Además, se aconseja a los usuarios no proporcionar permisos de colaborador o superiores a usuarios no confiables para reducir el riesgo de explotación de esta vulnerabilidad.