La vulnerabilidad CVE-2024-4980 en el plugin WPKoi Templates para Elementor permite a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado a través de varios parámetros, lo que podría comprometer la seguridad de un sitio web WordPress.
El plugin WPKoi Templates para Elementor en WordPress es vulnerable a Cross-Site Scripting almacenado a través de los parámetros ‘id’, ‘mixColor’, ‘backgroundColor’, ‘saveInCookies’ y ‘autoMatchOsTheme’ en todas las versiones hasta, e incluyendo, la 2.5.9 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar este riesgo de seguridad, se recomienda a los usuarios actualizar el plugin WPKoi Templates para Elementor a la última versión disponible y validar y sanitizar todas las entradas de formulario para prevenir ataques de Cross-Site Scripting en sus sitios web.