La vulnerabilidad CVE-2024-8541 afecta al plugin Discount Rules for WooCommerce, utilizado para crear cupones y descuentos en tiendas WooCommerce. Esta vulnerabilidad de Cross-Site Scripting permite a atacantes inyectar scripts maliciosos en páginas web, comprometiendo la seguridad del sitio.
La vulnerabilidad se debe a un problema de neutralización inadecuada de la entrada durante la generación de páginas web. El plugin utiliza la función add_query_arg sin escapar adecuadamente la URL en todas las versiones hasta la 2.6.5. Esto significa que un atacante no autenticado podría inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un administrador del sitio para realizar una acción, como hacer clic en un enlace. Es importante tener en cuenta que esta vulnerabilidad solo es explotable cuando se muestra el aviso ‘Dejar una reseña’, que aparece después de realizar 100 pedidos y desaparece si un usuario descarta el aviso.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Discount Rules for WooCommerce a la última versión disponible y estar atentos a futuras actualizaciones de seguridad. Además, se debe evitar interactuar con enlaces sospechosos y se recomienda implementar medidas de seguridad adicionales en el sitio web para prevenir posibles ataques de Cross-Site Scripting.