El plugin HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a un XSS almacenado a través del atributo ‘border_type’ del widget Post Carousel en todas las versiones hasta la 2.4.4. Esto permite a atacantes autenticados con niveles de acceso de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada.
Se recomienda a los usuarios de este plugin actualizarlo a la última versión disponible, en este caso la 2.4.5, donde se ha corregido esta vulnerabilidad de XSS almacenado. Además, se aconseja a los administradores del sitio implementar medidas adicionales de seguridad, como restringir los roles de usuario y realizar una auditoría de seguridad periódica para detectar posibles vulnerabilidades en plugins instalados.
Es fundamental mantener todos los plugins y temas de WordPress actualizados a sus últimas versiones para mitigar el riesgo de explotación de vulnerabilidades conocidas. La seguridad de un sitio web no debe tomarse a la ligera, y la prevención es la mejor defensa contra posibles ataques cibernéticos.