La vulnerabilidad CVE-2024-11877 en el plugin Cricket Live Score para WordPress permite a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web maliciosos en páginas, lo que puede resultar en ataques de Cross-Site Scripting (XSS) almacenados.
El plugin Cricket Live Score para WordPress es vulnerable a ataques de Cross-Site Scripting (XSS) almacenados a través del shortcode ‘cricket_score’ del plugin en todas las versiones hasta, e incluyendo, la 2.0.2 debido a una insuficiente sanitización de entrada y escape de salida en los atributos suministrados por los usuarios. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán siempre que un usuario acceda a una página inyectada.
Es recomendable actualizar el plugin Cricket Live Score a la última versión disponible para corregir esta vulnerabilidad de Cross-Site Scripting (XSS) almacenado. Además, se aconseja a los usuarios evitar la introducción de código JavaScript u otros contenidos no seguros en los atributos suministrados para prevenir posibles ataques de este tipo.