Recopilación de vulnerabilidades WordPress.

Beaver Builder – WordPress Page Builder <=2.8.3.6 – XSS via Button Group Module

La vulnerabilidad CVE-2024-9049 en el plugin Beaver Builder para WordPress permite a atacantes autenticados realizar XSS almacenado a través del módulo Button Group, poniendo en riesgo la seguridad de los usuarios con roles de contribuidor y superiores.

El plugin Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del módulo Button Group en todas las versiones hasta la 2.8.3.6 debido a una sanitización insuficiente de la entrada y escapado de la salida en los atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en las páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin Beaver Builder a la última versión disponible y mantenerlo siempre actualizado. Además, se debe evitar el acceso de roles de contribuidor a usuarios no confiables para reducir el riesgo de explotación de esta vulnerabilidad.

Related Article