Recopilación de vulnerabilidades WordPress.

Contact Form 7 – Repeatable Fields <= 2.0.1 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de field_group Shortcode

La vulnerabilidad CVE-2024-10180 afecta al plugin Contact Form 7 – Repeatable Fields para WordPress, permitiendo a atacantes autenticados inyectar scripts maliciosos en páginas y ejecutarlos cuando un usuario accede a la página comprometida.

El plugin Contact Form 7 – Repeatable Fields versión 2.0.1 y anteriores no realiza una suficiente sanitización de entradas y escapado de datos de salida en los atributos proporcionados por el usuario. Esto abre la puerta a que atacantes autenticados con acceso de contribuidor y superior puedan inyectar scripts web arbitrarios en páginas y hacer que se ejecuten al ser accedidas por un usuario.
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a una versión posterior a la 2.0.1 que aborde este problema de seguridad. Además, se aconseja a los usuarios no confiar únicamente en las funcionalidades de entrada de datos del plugin y validar y filtrar adecuadamente cualquier información proporcionada por usuarios externos.

Related Article