La vulnerabilidad CVE-2024-1585 en el plugin Metform Elementor Contact Form Builder para WordPress permite a un atacante almacenar scripts maliciosos en el sitio web a través de shortcodes, lo que puede resultar en la ejecución de código no autorizado en las páginas del sitio.
El plugin Metform Elementor Contact Form Builder en versiones anteriores a 3.8.3 no realiza una suficiente sanitización de la entrada de datos ni un escape adecuado en los atributos suministrados por los usuarios. Esto posibilita que atacantes autenticados con permisos de nivel contribuidor o superior puedan inyectar scripts web arbitrarios en las páginas del sitio que se ejecutarán cuando un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin afectado a la última versión disponible de forma inmediata. También es importante seguir buenas prácticas de seguridad, como limitar los permisos de usuario y realizar regularmente auditorías de seguridad en el sitio para identificar posibles vulnerabilidades adicionales.