La vulnerabilidad CVE-2024-3053 afecta al plugin Forminator – Contact Form, Payment Form & Custom Form Builder para WordPress, permitiendo a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas web.
La versión 1.29.2 y anteriores de Forminator son vulnerables a Cross-Site Scripting almacenado a través del atributo ‘id’ del shortcode forminator_form. Este fallo se debe a una insuficiente sanitización de entradas y escape de salida, lo que facilita a los atacantes la ejecución de scripts web arbitrarios en las páginas afectadas.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible y realizar una revisión de seguridad en busca de posibles inyecciones de código malicioso en las páginas afectadas.