La vulnerabilidad CVE-2024-9951 en el plugin WP Photo Album Plus para WordPress permite a atacantes no autenticados realizar ataques de Cross-Site Scripting reflejado a través del parámetro ‘wppa-tab’ en todas las versiones hasta, e incluyendo, la 8.8.05.003 debido a una sanitización insuficiente de la entrada y escape de salida.
Esto posibilita que los atacantes inyecten scripts web arbitrarios en las páginas y se ejecuten si logran engañar a un usuario para realizar acciones como hacer clic en un enlace. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, la 8.8.05.003, que soluciona esta vulnerabilidad. Además, se sugiere no hacer clic en enlaces sospechosos o de fuentes desconocidas para evitar ser víctima de este tipo de ataques.
Es fundamental que los administradores de sitios web que utilicen el plugin WP Photo Album Plus estén al tanto de esta vulnerabilidad y tomen medidas inmediatas para proteger sus sitios y usuarios de posibles ataques de Cross-Site Scripting reflejado.