La vulnerabilidad CVE-2024-2258 en el plugin Form Maker by 10Web para WordPress permite a atacantes autenticados con nivel de suscriptor o superior inyectar scripts web arbitrarios en páginas del sitio.
La falta de saneamiento de la entrada y de escape de la salida en el plugin Form Maker by 10Web – Mobile-Friendly Drag & Drop Contact Form Builder para WordPress lo hace vulnerable a Stored Cross-Site Scripting. Esto permite a atacantes autenticados con nivel de suscriptor o superior inyectar scripts web arbitrarios en formularios, los cuales se ejecutarán cuando un usuario acceda a la página comprometida.
Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin Form Maker by 10Web a la última versión disponible y no proporcionar a usuarios con privilegios inferiores la capacidad de insertar scripts en formularios.