El plugin HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a XSS almacenado a través de los bloques del plugin en todas las versiones hasta la 2.4.6 debido a una sanitización insuficiente de la entrada y escape de la salida en los atributos proporcionados por el usuario ‘titleTag’. Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, los usuarios deben actualizar el plugin HT Mega a la última versión disponible, en este caso la 2.4.7 o superior. Además, se recomienda a los administradores del sitio restringir los permisos de los usuarios para minimizar el impacto de posibles ataques de XSS almacenado.
Es crucial mantener todos los plugins y temas de WordPress actualizados para protegerse contra vulnerabilidades conocidas. La adecuada gestión de permisos de usuario también es fundamental para garantizar la seguridad del sitio web.