La vulnerabilidad de Reflected Cross-Site Scripting en el plugin Checkout with Cash App en WooCommerce para WordPress permite a atacantes no autenticados insertar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
La vulnerabilidad CVE-2024-9635 se produce debido a una neutralización inadecuada de la entrada en la generación de páginas web. Esto afecta a todas las versiones del plugin hasta la versión 6.0.2, ya que no se realiza una sanitización suficiente de la entrada y escape de la salida del parámetro ‘_wp_http_referer’ en varios archivos. Como resultado, los ciberdelincuentes pueden aprovechar esta vulnerabilidad para llevar a cabo ataques de Cross-Site Scripting.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Checkout with Cash App en WooCommerce a la última versión disponible y mantener al día todas las extensiones y temas utilizados en sus sitios web. Además, se aconseja a los usuarios ser cautelosos al hacer clic en enlaces de fuentes desconocidas para evitar posibles ataques de este tipo.