La vulnerabilidad CVE-2024-13378 en la versión 2.9.0.1 hasta la 2.9.1.3 de GravityForms para WordPress permite a atacantes no autenticados ejecutar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada.
La versión afectada de GravityForms es vulnerable a Cross-Site Scripting almacenado debido a una insuficiente sanitización de la entrada y escapado de la salida en el parámetro ‘style_settings’. Esta vulnerabilidad solo tiene éxito en el navegador web Chrome y requiere la navegación directa del archivo multimedia a través de la publicación de un adjunto.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar la versión de GravityForms a la 2.9.1.4 o posterior, que incluye una corrección para este problema de seguridad.