El plugin Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE para WordPress es vulnerable a Cross-Site Scripting almacenado a través del metabox CSS del campo de archivo de formulario de contacto en todas las versiones hasta, e incluyendo, la 2.6.3 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
La vulnerabilidad CVE-2024-1684 en Otter Blocks PRO <= 2.6.3 se debe a que el plugin no filtra adecuadamente los datos de entrada provenientes del campo de archivo CSS en el formulario de contacto, lo que permite a un atacante autenticado manipular el código CSS para incluir scripts maliciosos. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible que contenga una corrección para esta vulnerabilidad. Además, se sugiere restringir el acceso de los usuarios con roles de contribuidor y superior a las funciones que puedan manipular el código CSS para evitar posibles ataques.
Es crucial que los administradores de sitios web WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen medidas proactivas para proteger sus sitios y usuarios. La actualización regular de los plugins a las versiones más recientes y la implementación de buenas prácticas de seguridad, como limitar los privilegios de los usuarios, son pasos fundamentales para garantizar la seguridad en línea.