La vulnerabilidad CVE-2024-11902 en el plugin de WordPress Slope Widgets permite a atacantes autenticados con acceso de contribuidor o superior, inyectar scripts maliciosos en páginas web que se ejecutarán cuando un usuario acceda a esa página.
El plugin Slope Widgets para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘slope-reservations’ en todas las versiones hasta, e incluyendo, la 4.2.11 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Para mitigar este problema, los usuarios deben actualizar el plugin a la última versión disponible, en este caso, la versión 4.2.12 que corrige esta vulnerabilidad. También se recomienda realizar una auditoría de seguridad en el sitio para buscar posibles inyecciones de scripts maliciosos.
Es crucial que los administradores de sitios web de WordPress mantengan siempre sus plugins actualizados a las últimas versiones para evitar posibles ataques de Cross-Site Scripting como el identificado en el plugin Slope Widgets. La seguridad del sitio web depende en gran medida de la atención que se le otorga a mantener todos los componentes actualizados y seguros.