La vulnerabilidad CVE-2024-3075 en el plugin MM-email2image para WordPress permite a atacantes autenticados inyectar scripts maliciosos en páginas web utilizando shortcodes, comprometiendo la seguridad del sitio.
El plugin MM-email2image para WordPress es vulnerable a XSS almacenado a través de los shortcodes del plugin en todas las versiones hasta la 0.2.5 debido a la falta de sanitización de la entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin MM-email2image a la última versión disponible y revisar regularmente la seguridad de sus plugins instalados para evitar posibles ataques XSS almacenados.