La vulnerabilidad CVE-2024-3190 permite a atacantes autenticados con nivel de acceso de colaborador o superior inyectar scripts web arbitrarios en las páginas del plugin Unlimited Elements For Elementor en versiones hasta la 1.5.107.
El plugin Unlimited Elements For Elementor (Widgets, Addons, Templates) para WordPress es vulnerable a ataques de Cross-Site Scripting almacenado a través del widget de campo de texto del plugin en todas las versiones hasta la 1.5.107 debido a la insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso a nivel de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Por favor, tenga en cuenta que esta vulnerabilidad es diferente en que el problema proviene de una plantilla externa. Parece que versiones más antiguas también pueden estar parcheadas debido a esto, sin embargo, estamos eligiendo la versión 1.5.108 como la versión parcheada ya que es la versión más reciente que contiene dicho parche.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la versión 1.5.108 del plugin Unlimited Elements For Elementor. Además, se debe evitar insertar scripts web desconocidos en páginas del plugin y se recomienda revisar y validar cualquier entrada de usuario antes de aceptarla para su procesamiento.