En este reporte se detalla la vulnerabilidad de Cross-Site Scripting almacenado en el plugin Events Manager – Calendar, Bookings, Tickets, and more! para WordPress hasta la versión 6.4.7.1. Esta vulnerabilidad permite a atacantes autenticados con permisos de nivel contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada.
La vulnerabilidad identificada con el ID CVE-2024-2111 en el plugin Events Manager para WordPress se produce por una incorrecta neutralización de la entrada durante la generación de páginas web, permitiendo el Cross-Site Scripting almacenado. Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible, en este caso, superior a la versión 6.4.7.1. Además, se recomienda a los usuarios restringir los permisos de los roles de usuario para limitar las capacidades de inyección de scripts de los contribuidores y evitar así posibles ataques de este tipo.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para evitar vulnerabilidades de seguridad como el Cross-Site Scripting almacenado. Asimismo, es importante revisar y restringir adecuadamente los permisos de usuario en el sitio para reducir el riesgo de ataques exitosos.