La vulnerabilidad CVE-2024-4462 ha sido identificada en el plugin Nafeza Prayer Time para WordPress, permitiendo a atacantes autenticados con permisos de administrador o superiores realizar Cross-Site Scripting almacenado a través de la configuración del administrador.
El plugin Nafeza Prayer Time para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración del administrador en todas las versiones hasta, e incluyendo, la 1.2.9 debido a una sanitización insuficiente de la entrada y a la falta de escape de la salida. Esto posibilita que atacantes autenticados, con permisos de nivel administrador y superior, puedan inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se ha deshabilitado unfiltered_html.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Nafeza Prayer Time a una versión que haya corregido este problema. Además, se aconseja a los administradores de sitios web realizar una revisión de la configuración de permisos de usuario para limitar el acceso de los roles a las funciones que realmente necesitan para evitar posibles ataques de Cross-Site Scripting almacenado.