El plugin WPB Elementor Addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la salida de ‘tags’ agregados a widgets en todas las versiones hasta, e incluyendo, la 1.0.9 debido a una sanitización insuficiente de la entrada y escape de la salida en los atributos de los tags proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión disponible del plugin WPB Elementor Addons. Además, se sugiere a los administradores del sitio web realizar una revisión de los widgets y de las páginas donde se han utilizado estos tags para asegurarse de que no hayan sido comprometidos.
Es fundamental mantener todos los plugins de WordPress actualizados y realizar revisiones periódicas de seguridad para identificar y corregir posibles vulnerabilidades como la descrita en este informe.