La vulnerabilidad CVE-2024-11767 permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts maliciosos en páginas web a través del plugin NewsmanApp para WordPress.
El plugin NewsmanApp para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘newsman_subscribe_widget’ en todas las versiones hasta la 2.7.6 debido a la insuficiente sanitización de entrada y escapado de salida en atributos suministrados por el usuario. Esto permite a los atacantes autenticados, con acceso de nivel de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin NewsmanApp tan pronto como sea posible y evitar otorgar accesos de contribuidor o superior a usuarios no confiables.