La vulnerabilidad CVE-2024-1794, denominada ‘Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)’, afecta al plugin Forminator para WordPress en versiones hasta 1.29.0. Esta vulnerabilidad permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página.
La vulnerabilidad de Cross-Site Scripting (XSS) almacenado se produce por una insuficiente sanitización de la entrada y el escape de salida de archivos cargados por los usuarios. Los atacantes pueden aprovechar esta vulnerabilidad para cargar archivos maliciosos, como archivos 3gpp, que contienen scripts maliciosos que se ejecutarán en el navegador de los usuarios.
Es fundamental mantener actualizados los plugins de WordPress y seguir buenas prácticas de seguridad para protegerse contra vulnerabilidades conocidas como la CVE-2024-1794 en el caso de Forminator. La prevención y la concienciación son clave para mantener la integridad y la seguridad de un sitio web.