La vulnerabilidad CVE-2024-3167 se refiere a la falta de neutralización adecuada de la entrada durante la generación de páginas web (Cross-site Scripting) en el plugin Ocean Extra para WordPress.
El plugin Ocean Extra para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘twitter_username’ en versiones hasta, e incluyendo, la versión 2.2.6 debido a una sanitización insuficiente de la entrada y a la falta de escapado de la salida. Esto permite a atacantes autenticados, con permisos de nivel contribuyente o superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión disponible del plugin Ocean Extra tan pronto como sea posible. Asimismo, se sugiere a los administradores de sitios web realizar una revisión exhaustiva de las configuraciones de seguridad y de los permisos de los usuarios para evitar posibles ataques de Cross-Site Scripting.