La vulnerabilidad CVE-2024-2295 afecta al plugin Contact Form Manager para WordPress, permitiendo a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web maliciosos en páginas generadas por el plugin.
El plugin Contact Form Manager para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode [xyz-cfm-form] en todas las versiones hasta, e incluyendo, la 1.6.1 debido a la insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de contribuidor y superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Contact Form Manager a la última versión disponible. Además, se aconseja a los administradores de sitios web realizar una revisión exhaustiva de las configuraciones de permisos de los usuarios para limitar el acceso de contribuidores y evitar posibles ataques de inyección de scripts.