El plugin Unlimited Elements For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de múltiples widgets en todas las versiones hasta, e incluyendo, la 1.5.135 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Tenga en cuenta que como el código del widget no forma parte del código, para aplicar el parche, los widgets afectados: Imagen de información sobre herramientas, Notificación, Ventana emergente simple, Botón de reproducción de video y Carrusel de tarjetas, deben eliminarse y reinstalarse manualmente.
Es crucial que los usuarios de Unlimited Elements For Elementor actualicen sus widgets afectados a las versiones parcheadas o eliminen y reinstalen manualmente los widgets afectados para protegerse de posibles ataques de Cross-Site Scripting (XSS). Mantener los plugins de WordPress actualizados y realizar controles de seguridad regulares es fundamental para prevenir vulnerabilidades en el sitio web.