El plugin WPZOOM Addons for Elementor (Templates, Widgets) para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado a través del atributo ‘url’ dentro del widget Team Members del plugin en todas las versiones hasta, e incluyendo, 1.1.38. Esto se debe a una insuficiente sanitización de entrada y escape de salida, lo que permite a atacantes autenticados con acceso de nivel Contribuidor y superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-5686 permite a atacantes autenticados con privilegios de Contribuidor y superiores explotar esta vulnerabilidad para ejecutar código JavaScript malicioso en sitios web vulnerables. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin WPZOOM Addons for Elementor a la última versión disponible, en este caso la 1.1.39. Además, se aconseja a los administradores del sitio restringir el acceso de usuario a roles con permisos mínimos necesarios para reducir el impacto de posibles ataques de inyección de scripts.
Es fundamental la actualización constante de los plugins y temas de WordPress para garantizar la seguridad de los sitios web. Al implementar buenas prácticas de seguridad, como la minimización de permisos de usuario y la validación adecuada de entrada de datos, es posible reducir la superficie de ataque y protegerse contra vulnerabilidades conocidas como esta de Cross-Site Scripting.