El plugin GiveWP – Donation Plugin and Fundraising Platform para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta, e incluyendo, la 3.5.1 debido a la insuficiente sanitización de entrada y escapado de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de colaborador y superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-1424, también conocida como Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS), permite a los atacantes con permisos de colaborador o superiores inyectar scripts maliciosos en páginas de WordPress utilizando los shortcodes del plugin GiveWP. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso la 3.5.2, que soluciona esta vulnerabilidad. Además, se aconseja a los usuarios implementar buenas prácticas de seguridad, como validar y escapar correctamente las entradas de usuario para prevenir ataques de Cross-Site Scripting.
Es crucial que los usuarios de GiveWP – Donation Plugin and Fundraising Platform actualicen a la última versión disponible (3.5.2) y sigan buenas prácticas de seguridad para protegerse contra posibles ataques de Cross-Site Scripting. La seguridad de un sitio web es responsabilidad de todos los involucrados, y la prevención de vulnerabilidades como esta es fundamental para garantizar la integridad y protección de la información de los usuarios.