Recopilación de vulnerabilidades WordPress.

Vulnerabilidad de Cross-Site Scripting (XSS) en GD Rating System <= 3.6.1 a través del parámetro extra_class para usuarios autenticados (Contributor+)

La vulnerabilidad CVE-2024-11198 en el plugin GD Rating System para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en páginas, lo que podría comprometer la seguridad de los usuarios.

La vulnerabilidad de Cross-Site Scripting (XSS) en GD Rating System <= 3.6.1 se produce debido a una sanitización insuficiente de la entrada y escapado de la salida en el parámetro 'extra_class'. Esto permite a atacantes autenticados con acceso de nivel Contribuidor y superior inyectar scripts web maliciosos en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Se recomienda a los usuarios del plugin GD Rating System actualizar a la versión 3.6.2 o superior para mitigar el riesgo de esta vulnerabilidad. Además, se aconseja a los administradores de sitios web realizar una revisión de seguridad regular para identificar y corregir posibles vulnerabilidades en sus instalaciones de WordPress.

Related Article