La vulnerabilidad CVE-2024-10683 afecta al plugin Contact Form 7 – PayPal & Stripe Add-on para WordPress, permitiendo a atacantes reflejar scripts maliciosos en páginas web si engañan a un usuario para que realice una acción como hacer clic en un enlace.
El plugin utiliza add_query_arg & remove_query_arg sin escape adecuado en la URL, lo que posibilita a los atacantes inyectar scripts web arbitrarios en las páginas. Esto significa que los usuarios pueden verse afectados si un atacante logra engañarlos para que hagan clic en un enlace comprometido, aprovechando la presencia del aviso de dejar una reseña en el panel de administración del plugin.
Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible y evitar hacer clic en enlaces no confiables. Además, se debe tener cuidado al interactuar con el panel de administración para evitar caer en posibles ataques de Cross-Site Scripting.