La vulnerabilidad CVE-2024-13385 en el plugin JSM Screenshot Machine Shortcode para WordPress permite a atacantes autenticados con nivel de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida.
El plugin JSM Screenshot Machine Shortcode para WordPress es vulnerable a XSS almacenado a través del shortcode ‘ssm’ del plugin en todas las versiones hasta, e incluyendo, la 2.3.0 debido a una sanitización insuficiente de la entrada y escape de salida en los atributos proporcionados por el usuario. Para subsanar este problema, se recomienda actualizar el plugin a la última versión disponible, 2.3.1, la cual incluye parches de seguridad para corregir esta vulnerabilidad. Además, se aconseja a los usuarios ser cautelosos al agregar scripts a sus páginas y verificar la legitimidad de los mismos para evitar la ejecución de código malicioso en sus sitios.
Es fundamental estar al tanto de las vulnerabilidades en los plugins de WordPress y mantener siempre actualizados los componentes para reducir el riesgo de exposición a posibles ataques. Al tomar medidas proactivas para garantizar la seguridad de su sitio, los usuarios pueden evitar consecuencias negativas y proteger la integridad de su presencia en línea.