La vulnerabilidad CVE-2024-10851, también conocida como Reflected Cross-Site Scripting, afecta al plugin Razorpay Payment Button para WordPress. Esta vulnerabilidad permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
La versión 2.4.6 y anteriores del plugin Razorpay Payment Button utilizan add_query_arg & remove_query_arg sin escapar adecuadamente la URL, lo que permite la inyección de scripts maliciosos. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la versión más reciente disponible y seguir las buenas prácticas de seguridad al interactuar con enlaces y formularios en línea.
Es fundamental mantener el software actualizado y estar atento a posibles vulnerabilidades de seguridad en los plugins utilizados en WordPress para reducir el riesgo de ataques de tipo Cross-Site Scripting.