La vulnerabilidad CVE-2024-3337 está presente en el plugin Colibri Page Builder para WordPress en sus versiones hasta la 1.0.272. Esta vulnerabilidad de Cross-Site Scripting almacenado permite a atacantes autenticados con nivel de acceso de contribuidor y superior inyectar scripts web arbitrarios en las páginas, que se ejecutarán cada vez que un usuario acceda a la página afectada.
La vulnerabilidad se produce debido a la falta de sanitización de entrada y escape de salida en los atributos proporcionados por el usuario en el shortcode ‘colibri_breadcrumb_element’ del plugin. Esto significa que los atacantes pueden insertar código malicioso que se ejecutará en el navegador de los usuarios que visiten la página afectada. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible que corrija esta vulnerabilidad. Además, se sugiere restringir el acceso de los roles de contribuidor y superior para evitar que usuarios malintencionados aprovechen esta vulnerabilidad.
Es fundamental que los administradores de sitios web WordPress estén al tanto de esta vulnerabilidad en el plugin Colibri Page Builder y tomen las medidas necesarias para proteger sus sitios. Mantenerse actualizado con las últimas versiones de plugins y temas, así como limitar el acceso de los usuarios a roles con privilegios mínimos, ayudará a reducir el riesgo de explotación de esta y otras vulnerabilidades.