La vulnerabilidad CVE-2024-10227 afecta al plugin affiliate-toolkit para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor y superior, inyectar scripts web arbitrarios que se ejecutarán cuando un usuario acceda a la página comprometida.
La vulnerabilidad de Cross-Site Scripting almacenada en affiliate-toolkit <= 3.6.5 se debe a una insuficiente sanitización de entradas y escape de salidas en los atributos suministrados por el usuario a través del shortcode atkp_product. Esto significa que un atacante autenticado con privilegios de contribuidor o superior puede insertar scripts maliciosos en páginas web que se ejecutarán cada vez que un usuario acceda a dicha página. Para mitigar este riesgo, se recomienda actualizar el plugin a la última versión disponible, y en caso de no ser posible, desactivar el shortcode atkp_product hasta que se publique una solución por parte del desarrollador.
Es crucial mantener actualizados todos los plugins y temas de WordPress para evitar posibles vulnerabilidades de seguridad. En este caso, la vulnerabilidad de Cross-Site Scripting almacenada en affiliate-toolkit <= 3.6.5 destaca la importancia de validar y escapar adecuadamente las entradas de los usuarios para prevenir ataques de inyección de código malicioso en sitios web WordPress.