El plugin WP Shortcodes Plugin — Shortcodes Ultimate para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘su_qrcode’ en todas las versiones hasta, e incluyendo, la 7.0.3 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad identificada con el ID CVE CVE-2024-1808 permite a un atacante autenticado con nivel de acceso de contribuidor o superior insertar código malicioso en las páginas del sitio web. Esto puede resultar en la ejecución de scripts no autorizados en el navegador de los usuarios que accedan a estas páginas, lo que potencialmente podría llevar a la divulgación de información confidencial o la realización de acciones no deseadas en el sitio.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin WP Shortcodes Plugin — Shortcodes Ultimate a la versión más reciente disponible que contenga una solución para esta vulnerabilidad. Además, se debe estar atento a futuras actualizaciones de seguridad y seguir buenas prácticas de desarrollo seguro para prevenir este tipo de ataques en el futuro.
Es fundamental mantener todos los plugins de WordPress actualizados para protegerse contra vulnerabilidades conocidas. En el caso específico de la vulnerabilidad de Cross-Site Scripting en WP Shortcodes Plugin — Shortcodes Ultimate <= 7.0.3, la actualización a la última versión disponible es crucial para mitigar el riesgo de explotación. La seguridad debe ser una prioridad constante para garantizar la integridad y confidencialidad de los sitios web basados en WordPress.