La vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Chatroll Live Chat para WordPress puede ser explotada por atacantes autenticados para insertar scripts web maliciosos en páginas que se ejecutarán cuando un usuario accede a esa página.
La vulnerabilidad CVE-2024-12464, denominada Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’), afecta a todas las versiones del plugin Chatroll Live Chat hasta la versión 2.5.0. La falta de saneamiento de la entrada y de escape de la salida de atributos suministrados por el usuario permite a atacantes autenticados con acceso de nivel contribuidor o superior inyectar scripts web arbitrarios en páginas del sitio.
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la última versión disponible, en la cual se han implementado medidas de seguridad para corregir esta vulnerabilidad. Además, se aconseja a los usuarios restringir el acceso de los roles de contribuidor y superiores a fin de reducir el riesgo de explotación por parte de atacantes.
Es fundamental mantener actualizados todos los plugins de WordPress y verificar regularmente la existencia de vulnerabilidades conocidas. La implementación de buenas prácticas de seguridad, como la gestión adecuada de roles y permisos de usuario, es esencial para proteger los sitios web de posibles ataques de Cross-Site Scripting y otras amenazas de seguridad.