La vulnerabilidad CVE-2024-2311 afecta al tema Avada para WordPress, permitiendo a atacantes autenticados con permisos de nivel contributor y superiores inyectar scripts web arbitrarios en páginas que ejecutarán cuando un usuario acceda a la página inyectada.
La vulnerabilidad se debe a una insuficiente sanitización de entrada y escape de salida en los atributos suministrados por el usuario a través de los shortcodes del plugin. Para mitigar este riesgo, los usuarios afectados deben actualizar su tema Avada a la versión 7.11.7 o posterior. Además, se recomienda reducir los permisos de los roles de los usuarios, limitando el acceso de contributor y superiores a la funcionalidad de edición de shortcodes.
Es crucial para la seguridad de un sitio web estar al tanto de las actualizaciones de temas y plugins, así como de limitar los permisos de los usuarios para reducir el impacto de posibles vulnerabilidades. Mantenerse informado y tomar medidas proactivas son clave para protegerse contra amenazas en línea.