Se ha identificado una vulnerabilidad en el plugin Giveaways y Concursos por RafflePress para WordPress que podría permitir a atacantes no autenticados realizar Cross-Site Scripting almacenado en sitios web vulnerables.
La vulnerabilidad CVE-2024-1935, conocida como Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS), afecta a la versión 1.12.5 y anteriores de este plugin. La falta de sanitización de entrada y escape de salida en el parámetro ‘parent_url’ permite a los atacantes inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin RafflePress a la última versión disponible y mantener todos los plugins y temas de WordPress actualizados. Además, se sugiere implementar medidas de seguridad adicionales, como la restricción de acceso a páginas de administración y la monitorización constante de posibles actividad maliciosa en el sitio web.