El plugin Bold Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode bt_bb_price_list en todas las versiones hasta, e incluyendo, la 4.8.8 debido a la insuficiente sanitización de entrada y escape de salida en los atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-3267 en el plugin Bold Page Builder puede ser explotada por atacantes autenticados para llevar a cabo ataques de Cross-Site Scripting almacenado. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Bold Page Builder a la versión 4.8.9 o posterior. Además, se debe seguir las buenas prácticas de seguridad, como limitar el acceso de los usuarios a roles con privilegios mínimos y desconfiar de las entradas de los usuarios.
Es crucial para los usuarios de WordPress estar al tanto de las vulnerabilidades en plugins populares como Bold Page Builder y tomar medidas activas para proteger sus sitios web. Al mantener los plugins actualizados y seguir las prácticas recomendadas de seguridad, se puede reducir el riesgo de compromiso de la seguridad del sitio.