El plugin Portfolio – Filterable Masonry Portfolio Gallery for Professionals para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘portfolio-pro’ en todas las versiones hasta, e incluyendo, la 1.2.2 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor en adelante, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-11900 en el plugin Portfolio – Filterable Masonry Portfolio Gallery for Professionals <= 1.2.2 permite a los atacantes almacenar scripts maliciosos en el sitio web objetivo, los cuales pueden ser ejecutados en el navegador de los usuarios cada vez que acceden a una página comprometida. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, la 1.2.3. Además, se aconseja a los administradores revisar y limitar los permisos de los usuarios con roles de 'contribuidor' o superiores para reducir el riesgo de explotación.
Es fundamental que los propietarios de sitios web que utilicen el plugin Portfolio – Filterable Masonry Portfolio Gallery for Professionals estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger sus sitios. La actualización regular de los plugins y la monitorización de los permisos de los usuarios son prácticas recomendadas para garantizar la seguridad de los sitios basados en WordPress.