El plugin Elementor Website Builder Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través del custom_id de los widgets en todas las versiones hasta, e incluyendo, la 3.20.1 debido a una insuficiente saneamiento de la entrada y escapado de la salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados con permisos de nivel contribuidor y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios actualizar su plugin Elementor Website Builder Pro a la versión 3.20.2 o posterior, donde se ha corregido esta vulnerabilidad. Además, es importante validar y filtrar cuidadosamente cualquier entrada de usuario antes de mostrarla en la página para prevenir los ataques de Cross-Site Scripting (XSS) y mantener la seguridad de su sitio web.
Es crucial para los usuarios de Elementor Website Builder Pro asegurarse de que sus sitios estén actualizados a la última versión disponible y de implementar buenas prácticas de seguridad al manipular datos de usuario para evitar posibles vulnerabilidades de seguridad.