Se ha detectado una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Elementor Header & Footer Builder para WordPress. Esta vulnerabilidad, identificada con el ID CVE CVE-2024-1237, permite a atacantes autenticados inyectar scripts web maliciosos en páginas del sitio afectado.
La vulnerabilidad reside en el atributo flyout_layout del plugin Elementor Header & Footer Builder en versiones anteriores a la 1.6.24. La falta de sanitización de la entrada y la falta de escapado de la salida permiten a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web arbitrarios en las páginas, los cuales se ejecutarán cuando un usuario acceda a la página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Elementor Header & Footer Builder a la última versión disponible, en la cual se han implementado medidas de seguridad para corregir esta vulnerabilidad. Además, se sugiere a los administradores del sitio realizar una revisión de seguridad adicional para detectar posibles inyecciones de scripts maliciosos en el sitio.