La vulnerabilidad CVE-2024-10340 permite a atacantes autenticados (Contributor+) llevar a cabo Cross-Site Scripting almacenado a través del shortcode ‘scu’ en la versión 2.1.3 y anteriores del plugin Shortcodes Blocks Creator Ultimate para WordPress. Esto representa un riesgo para los usuarios del plugin, ya que puede permitir la ejecución de scripts web maliciosos en páginas creadas con este plugin.
El plugin Shortcodes Blocks Creator Ultimate para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘scu’ en versiones hasta, e incluyendo, 2.1.3 debido a una sanitización insuficiente de la entrada y escape de la salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de nivel contribuidor o superior insertar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
Para mitigar el riesgo de esta vulnerabilidad, se recomienda a los usuarios del plugin Shortcodes Blocks Creator Ultimate actualizar a la última versión disponible lo antes posible. Además, se aconseja a los administradores de sitios web implementar buenas prácticas de seguridad, como limitar los permisos de los usuarios y validar cuidadosamente cualquier entrada de usuario antes de ser procesada por el sistema.