El plugin Comments – wpDiscuz para WordPress es vulnerable a la Inyección de HTML en todas las versiones hasta, e incluyendo, la 7.6.21. Esto se debe a la falta de filtrado de etiquetas HTML en los comentarios. Esto hace posible que atacantes no autenticados añadan HTML como hipervínculos a los comentarios cuando la edición enriquecida está deshabilitada.
La vulnerabilidad identificada con el ID CVE-2024-6704 en el plugin Comments – wpDiscuz puede ser explotada por atacantes no autenticados para inyectar HTML malicioso en los comentarios de un sitio web WordPress. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso la versión 7.6.22. Además, se aconseja habilitar la edición enriquecida de comentarios para evitar la inserción de código malicioso en los mismos.
Es crucial que los administradores de sitios web que utilicen el plugin Comments – wpDiscuz tomen medidas inmediatas para proteger sus sitios de posibles ataques de inyección de HTML. La actualización del plugin y la configuración adecuada de las opciones de comentarios son pasos fundamentales para garantizar la seguridad de la plataforma WordPress.