El plugin Colibri Page Builder para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del shortcode ‘colibri_post_title’ en todas las versiones hasta, e incluyendo, la 1.0.263 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por los usuarios como ‘heading_type’. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-2839 en el plugin Colibri Page Builder puede ser explotada por atacantes que tengan al menos acceso de contribuidor para insertar código malicioso en páginas creadas con el plugin. Esta vulnerabilidad podría ser utilizada para realizar ataques de phishing, robar cookies de sesión de usuarios o redirigir a los visitantes a sitios web maliciosos.
Para mitigar el riesgo de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Colibri Page Builder a la última versión disponible, en este caso la 1.0.264, que parchea esta vulnerabilidad específica. Además, se aconseja a los administradores del sitio web realizar una revisión de seguridad exhaustiva para buscar posibles inyecciones de XSS en otras áreas del sitio.