El plugin de WordPress Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress es vulnerable a Cross-Site Scripting almacenado a través del shortcode login-password del plugin en todas las versiones hasta, e incluyendo, la 4.14.4 debido a una insuficiente sanitización de entradas y escape de salida en los atributos proporcionados por el usuario. Esto permite que atacantes autenticados con permisos de contribuidor o superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad identificada mediante el ID CVE CVE-2024-1570 implica que los atacantes autenticados pueden aprovecharse de esta falla para ejecutar código malicioso en las páginas web comprometidas. Como solución, se recomienda a los usuarios de ProfilePress que actualicen su plugin a la versión más reciente disponible, la cual debería abordar esta vulnerabilidad de seguridad. Además, se aconseja a los administradores de sitios web que estén atentos a las actualizaciones de seguridad proporcionadas por los desarrolladores de plugins y que implementen medidas adicionales de seguridad para protegerse contra posibles vulnerabilidades.
Es fundamental que los usuarios de ProfilePress tomen medidas inmediatas para proteger sus sitios web de posibles ataques de Cross-Site Scripting almacenado. La actualización oportuna del plugin a la última versión disponible es crucial para mitigar el riesgo de explotación de esta vulnerabilidad y garantizar la seguridad de los datos de los usuarios y la integridad del sitio web en general.