La vulnerabilidad CVE-2024-12453 afecta al plugin Uptodown APK Download Widget para WordPress, permitiendo a atacantes autenticados con acceso de contribuidor o superior, inyectar scripts web arbitrarios en las páginas del sitio web.
El plugin Uptodown APK Download Widget presenta una vulnerabilidad de Cross-Site Scripting almacenado debido a una sanitización insuficiente de la entrada y escape de salida en los atributos suministrados por los usuarios en su shortcode ‘utd-widget’. Esto potencialmente permite a un atacante autenticado insertar scripts web maliciosos que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Uptodown APK Download Widget a la última versión disponible y restringir el acceso a roles de usuario con privilegios de contribuidor o superiores en el sitio de WordPress.