La vulnerabilidad de Cross-Site Scripting (XSS) es un problema grave que afecta a la seguridad de los sitios web construidos en WordPress. En este caso, la vulnerabilidad en el plugin Royal Elementor Addons and Templates permite a atacantes autenticados inyectar scripts maliciosos en páginas web.
La vulnerabilidad CVE-2024-3889 identificada en Royal Elementor Addons and Templates <= 1.3.971 es causada por una neutralización incorrecta de la entrada durante la generación de páginas web, lo que permite a los atacantes almacenar scripts XSS en el widget Advanced Accordion del plugin. Esto afecta a todas las versiones anteriores a 1.3.971 debido a la falta de sanitización de entradas y escape de salida en atributos proporcionados por el usuario como 'accordion_title_tag'. Como resultado, un atacante autenticado con acceso de nivel de contribuidor o superior puede inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios de Royal Elementor Addons and Templates actualizar el plugin a la última versión disponible, en este caso, la 1.3.972 o posterior. Además, se sugiere a los administradores del sitio web implementar medidas de seguridad adicionales, como la restricción de privilegios de usuario y la supervisión regular de la actividad del sitio para detectar posibles intrusiones.