La vulnerabilidad CVE-2024-7136 afecta al plugin JetSearch para WordPress, permitiendo a atacantes autenticados con acceso de Contribuidor o superior inyectar scripts web arbitrarios en páginas específicas.
La vulnerabilidad de Cross-Site Scripting Almacenado en JetSearch se produce debido a una insuficiente sanitización de entrada y escape de salida en el parámetro ‘id’ en las versiones anteriores a la 3.5.2. Esto significa que los atacantes pueden inyectar scripts maliciosos que se ejecutarán cada vez que un usuario acceda a la página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar JetSearch a la última versión disponible y asegurarse de que los usuarios con roles de Contribuidor o superiores sean de confianza. Además, se aconseja implementar políticas de seguridad que incluyan la revisión de códigos personalizados para evitar este tipo de ataques en el futuro.