La vulnerabilidad CVE-2024-5970 en el plugin MaxGalleria para WordPress permite a atacantes autenticados con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida.
El plugin MaxGalleria versiones hasta la 6.4.4 son vulnerables a Cross-Site Scripting almacenado debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto significa que un atacante autenticado con acceso de contribuidor o superior puede explotar esta vulnerabilidad para inyectar scripts maliciosos en las páginas generadas por el plugin.
Se recomienda a los usuarios actualizar el plugin MaxGalleria a la última versión disponible para mitigar este riesgo de seguridad. Adicionalmente, se aconseja ser cauteloso al aceptar contribuciones de usuarios con roles de acceso avanzados para prevenir posibles ataques de XSS almacenado.