La vulnerabilidad CVE-2024-2504 afecta al plugin Page Builder: Pagelayer – Drag and Drop website builder para WordPress en versiones hasta la 1.8.4. Esta vulnerabilidad, conocida como XSS almacenada, permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas creadas con el plugin.
El problema radica en la falta de sanitización adecuada de la entrada de usuarios y el escapado de salida en los atributos proporcionados por los usuarios. Esto abre la puerta a ataques XSS almacenados, donde el código malicioso se ejecuta cada vez que un usuario accede a la página comprometida. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, la 1.8.5. Además, se deben evitar otorgar permisos de contribuidor o superiores a usuarios no confiables y realizar una revisión minuciosa de los elementos de la página antes de publicarlos.
Es fundamental para la seguridad de un sitio web mantener todos los plugins y temas actualizados para evitar caer víctima de vulnerabilidades conocidas. En el caso de Page Builder: Pagelayer, la versión 1.8.5 incluye correcciones para esta vulnerabilidad específica, por lo que se insta a los usuarios a aplicar esta actualización lo antes posible.