La vulnerabilidad CVE-2024-3338 en el plugin Colibri Page Builder para WordPress permite a atacantes autenticados con nivel de autor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a esa página.
La falla de seguridad reside en la falta de sanitización de la entrada y escapado de la salida en el parámetro de datos de la etiqueta alt de las imágenes. Esto hace posible la inyección de scripts web almacenados por parte de usuarios autenticados, lo cual representa un riesgo de Cross-Site Scripting (XSS) en todas las versiones hasta la 1.0.262 del plugin. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible y evitar la inserción de scripts en el campo de datos de la etiqueta alt de las imágenes.
Es crucial que los usuarios de Colibri Page Builder tomen medidas para proteger sus sitios web de posibles ataques de Cross-Site Scripting. Mantenerse al día con las actualizaciones de seguridad y evitar la inserción de contenido no seguro en los campos de entrada puede ayudar a reducir el riesgo de explotación por parte de atacantes malintencionados.