La vulnerabilidad CVE-2024-2791 en el plugin Metform Elementor Contact Form Builder para WordPress permite a atacantes autenticados generar ataques XSS almacenados a través de los widgets del plugin. Esta vulnerabilidad se debe a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por los usuarios.
Esta vulnerabilidad afecta a todas las versiones hasta la 3.8.5 del plugin, lo que permite a atacantes autenticados con acceso de nivel contribuidor y superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios mantener el plugin actualizado a la última versión disponible y revisar regularmente las configuraciones de seguridad de su sitio web. Además, es importante restringir los privilegios de los usuarios en función de las tareas que desempeñan para limitar posibles ataques.