La vulnerabilidad CVE-2024-11761 afecta al plugin LegalWeb Cloud para WordPress en su versión 1.1.2 y anteriores. Se trata de una vulnerabilidad de Cross-Site Scripting almacenado que permite a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web maliciosos en las páginas del sitio.
La vulnerabilidad se debe a la falta de sanitización de entrada y escape de salida en los atributos proporcionados por los usuarios a través del shortcode ‘legalweb-popup’ del plugin. Esto permite a los atacantes autenticados aprovechar la vulnerabilidad para inyectar scripts web arbitrarios que se ejecutarán cuando un usuario acceda a una página inyectada. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin LegalWeb Cloud a la última versión disponible, la cual incluye parches de seguridad para corregir esta vulnerabilidad. Además, se recomienda a los administradores del sitio restringir el acceso de contribuidores y roles superiores a funcionalidades que no sean estrictamente necesarias.
Es fundamental que los usuarios de LegalWeb Cloud para WordPress estén al tanto de esta vulnerabilidad de Cross-Site Scripting almacenado y tomen las medidas necesarias para proteger sus sitios. La actualización del plugin y la limitación de permisos a los roles de usuario son pasos cruciales para mitigar el riesgo de un ataque exitoso.