La vulnerabilidad CVE-2024-2830 afecta al plugin WordPress Tag and Category Manager – AI Autotagger en su versión 3.13.0 y anteriores, permitiendo a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado a través del shortcode ‘st_tag_cloud’.
El plugin no realiza la suficiente sanitización de la entrada de datos ni el escape de la salida en los atributos suministrados por los usuarios. Esto posibilita que los atacantes autenticados, con acceso de contribuidor o superior, puedan inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada.
Para mitigar el riesgo de ataques de Cross-Site Scripting almacenado, se recomienda a los usuarios actualizar el plugin WordPress Tag and Category Manager – AI Autotagger a la última versión disponible y además, se insta a revisar y validar la entrada de datos proveniente de usuarios para prevenir la ejecución de scripts maliciosos.