La vulnerabilidad CVE-2024-1463 en el plugin LearnPress – WordPress LMS Plugin para WordPress permite a atacantes autenticados con nivel de acceso LP Instructor inyectar scripts web maliciosos en páginas, lo que puede resultar en ataques de Cross-Site Scripting almacenado.
La versión 4.2.6.3 y anteriores del plugin LearnPress son vulnerables a Cross-Site Scripting almacenado debido a una sanitización insuficiente de la entrada y escape inadecuado de la salida. Esto significa que los atacantes autenticados pueden inyectar scripts web maliciosos en los títulos y contenido de Cursos, Lecciones y Quizzes, lo que se ejecutará cuando un usuario acceda a la página afectada. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como sea posible y evitar la inclusión de contenido no confiable en los títulos y descripciones de los cursos.
Es fundamental que los administradores de sitios web que utilicen el plugin LearnPress estén al tanto de esta vulnerabilidad y tomen medidas inmediatas para proteger sus sitios. Al mantener el plugin actualizado y tener precaución con el contenido generado por usuarios, se puede reducir significativamente el riesgo de ataques de Cross-Site Scripting almacenado.