La vulnerabilidad CVE-2024-11896 afecta al plugin Text Prompter – Unlimited chatgpt text prompts for openai tasks en WordPress, permitiendo a atacantes autenticados realizar Cross-Site Scripting almacenado.
El plugin Text Prompter en versiones anteriores a la 1.0.7 no sanitiza correctamente la entrada de datos ni escapa la salida de atributos suministrados por el usuario, lo que posibilita a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en las páginas. Esto significa que los scripts maliciosos se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible y mantener todas las extensiones y temas actualizados. Además, se sugiere restringir el acceso a contribuidores y roles superiores solo a usuarios de confianza para reducir el riesgo de ataques de este tipo.