La vulnerabilidad CVE-2024-12073, también conocida como ‘Cross-Site Scripting Almacenado’ afecta al plugin Meteor Slides para WordPress en versiones hasta la 1.5.7. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso Contributor o superior, inyectar scripts web maliciosos en páginas que serán ejecutados cuando un usuario accede a la página manipulada.
La causa de esta vulnerabilidad radica en la falta de sanitización de entrada y escape de salida en el parámetro ‘slide_url_value’. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin, en este caso la 1.5.8 o superior. Además, se aconseja a los administradores de WordPress controlar de cerca los permisos de los usuarios para limitar el acceso y reducir el impacto de posibles ataques.
Es fundamental que los usuarios tomen medidas proactivas para proteger sus sitios web de posibles vulnerabilidades como el Cross-Site Scripting Almacenado en Meteor Slides. Mantenerse al día con las actualizaciones de seguridad y limitar el acceso de los usuarios a funciones sensibles son pasos clave para garantizar la integridad de un sitio WordPress.