Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en HT Mega – Absolute Addons For Elementor para WordPress (CVE-2024-12597)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
04/02/2025
Última modificación:
05/02/2025

Descripción

El complemento HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los parámetros 'block_css' e 'inner_css' en todas las versiones hasta incluida, 2.7.6 debido a un escape de entrada desinfección y salida insuficiente. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitraria en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:hasthemes:ht_mega:*:*:*:*:free:wordpress:*:* 2.7.7 (excluyendo)