Recopilación de vulnerabilidades WordPress.

League of Legends Shortcodes <= 1.0.1 – XSS almacenado autenticado (Contributor+) a través de Shortcode

La vulnerabilidad identificada como CVE-2024-10342 en el plugin League of Legends Shortcodes para WordPress permite a atacantes autenticados con permisos de contribuidor y superiores realizar ataques de Cross-Site Scripting (XSS) almacenado a través de shortcodes.

La versión 1.0.1 y anteriores del plugin League of Legends Shortcodes son vulnerables a XSS almacenado debido a una insuficiente sanitización de entradas y escape de salidas en atributos suministrados por usuarios. Esto posibilita a los atacantes autenticados con permisos de contribuidor y superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada.
Se recomienda a los usuarios de este plugin actualizar a la última versión disponible lo antes posible para mitigar el riesgo de ataques XSS almacenados. Además, es importante mantener siempre actualizados todos los plugins y temas de WordPress, así como aplicar buenas prácticas de seguridad como la limitación de permisos de usuario para reducir el impacto de posibles vulnerabilidades.

Related Article