Se ha descubierto una vulnerabilidad de Cross-Site Scripting Reflejado en el plugin de WordPress Máximo de Productos por Usuario para WooCommerce. Esta vulnerabilidad, identificada con el ID CVE-2024-9205, permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para realizar una acción como hacer clic en un enlace.
La vulnerabilidad se debe al uso de add_query_arg sin un escape apropiado en la URL en todas las versiones hasta, e incluyendo, la 4.2.8. Para mitigar este riesgo, se recomienda a los usuarios actualizar su plugin a la última versión disponible (si está disponible) y estar atentos a futuras actualizaciones de seguridad. Además, se sugiere a los administradores de sitios WordPress implementar medidas adicionales de seguridad, como el uso de firewalls de aplicaciones web y escaneos de seguridad regulares para detectar posibles vulnerabilidades en sus sitios.
Es crucial que los usuarios tomen medidas proactivas para proteger sus sitios web de posibles ataques de XSS. Al seguir las recomendaciones mencionadas, se puede reducir significativamente el riesgo de ser afectado por esta vulnerabilidad y mantener la seguridad de sus sitios WordPress.