La vulnerabilidad CVE-2024-12468 afecta al plugin WP Datepicker para WordPress, permitiendo a atacantes no autenticados realizar ataques de Reflected Cross-Site Scripting. Esto puede resultar en la ejecución de scripts web maliciosos en las páginas si logran engañar a un usuario para que realice ciertas acciones, como hacer clic en un enlace.
El plugin WP Datepicker hasta la versión 2.1.4 es vulnerable a ataques de Reflected Cross-Site Scripting a través del parámetro ‘wpdp_get_selected_datepicker’ debido a una insuficiente sanitización de entradas y escape de salida. Esto significa que un atacante podría inyectar scripts web arbitrarios que se ejecutarán en las páginas, poniendo en riesgo la seguridad de los usuarios del sitio web.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin WP Datepicker a la última versión disponible. Además, es importante estar atentos a posibles correcciones de seguridad proporcionadas por el desarrollador y asegurarse de mantener todas las extensiones y temas de WordPress al día para evitar posibles explotaciones de vulnerabilidades.