La vulnerabilidad CVE-2024-4862 en el plugin WPBITS Addons para Elementor Page Builder permite a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado a través de varios widgets. Esta vulnerabilidad se encuentra en todas las versiones hasta la 1.5 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario.
Esto posibilita a atacantes autenticados con acceso de nivel contribuidor y superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario accede a la página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin WPBITS Addons para Elementor Page Builder a la última versión disponible que contenga un parche de seguridad. Además, se debe fomentar buenas prácticas de seguridad como la restricción de privilegios de usuario y la validación adecuada de la entrada de datos por parte de los desarrolladores de plugins y temas de WordPress.