La vulnerabilidad CVE-2024-2861 afecta al plugin de WordPress ProfilePress en todas las versiones hasta la 4.15.8, permitiendo a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web arbitrarios en páginas del sitio.
La falta de sanitización de la entrada y escape de la salida en los atributos proporcionados por los usuarios en el widget Panel de Usuario de ProfilePress es lo que permite esta vulnerabilidad de Cross-Site Scripting almacenado. Para mitigar este problema, se recomienda a los usuarios actualizar a la última versión del plugin, la cual ya ha corregido esta vulnerabilidad. Además, se sugiere restringir el acceso de contribuidores y roles superiores en el sitio y mantener un monitoreo constante de actividades sospechosas en la plataforma.
Es fundamental para los administradores de sitios web de WordPress estar al tanto de las vulnerabilidades en plugins populares como ProfilePress y tomar las medidas necesarias para proteger sus sitios y usuarios de posibles ataques de Cross-Site Scripting almacenado.