La vulnerabilidad CVE-2024-11228 afecta al plugin de pago ‘워드프레스 결제 심플페이 – 우커머스 결제 플러그인’ para WordPress, permitiendo a atacantes autenticados realizar Cross-Site Scripting almacenado a través del shortcode pafw_instant_payment.
El plugin en cuestión muestra falta de neutralización adecuada de entradas durante la generación de páginas web, lo que permite a usuarios con acceso de nivel contributor o superior inyectar scripts web arbitrarios en páginas con el shortcode mencionado. Esta vulnerabilidad puede ser explotada por atacantes para ejecutar scripts maliciosos en el navegador de usuarios desprevenidos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible que contenga un parche de seguridad. Además, se sugiere a los administradores del sitio implementar políticas de seguridad que incluyan la corrección de errores de codificación y la validación adecuada de entradas de usuario para prevenir este tipo de ataques en el futuro.