Se ha identificado una vulnerabilidad de Cross-Site Scripting en el plugin Unlimited Elements For Elementor para WordPress. Esta vulnerabilidad permite a atacantes autenticados con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a esa página.
La vulnerabilidad se encuentra en el campo de enlace de un widget instalado, como por ejemplo ‘Button Link’, en todas las versiones hasta la 1.5.96 del plugin. Esto se debe a la insuficiente sanitización de entrada y escape de salida en los atributos suministrados por el usuario. Los atacantes pueden aprovechar esto para realizar ataques de Cross-Site Scripting almacenados con el fin de ejecutar scripts maliciosos en el navegador de los usuarios.
Se recomienda a los usuarios del plugin Unlimited Elements For Elementor actualizar a la última versión disponible para mitigar esta vulnerabilidad. Además, se debe tener cuidado al insertar enlaces en los widgets y asegurarse de que no contienen código malicioso que pueda ser ejecutado en el navegador de los visitantes del sitio.