La vulnerabilidad CVE-2024-4043 afecta al plugin WP Ultimate Post Grid para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior, inyectar scripts maliciosos en páginas web.
El plugin WP Ultimate Post Grid hasta la versión 3.9.1 es vulnerable a un Cross-Site Scripting almacenado a través del shortcode ‘wpupg-text’, debido a la insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Se recomienda a los usuarios actualizar el plugin WP Ultimate Post Grid a la última versión disponible, así como vigilar de cerca las actualizaciones de seguridad y practicar buenas prácticas de seguridad al gestionar los plugins y temas de WordPress.