La vulnerabilidad CVE-2024-10164 afecta al plugin Premium Packages – Sell Digital Products Securely para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor y superior inyectar scripts web maliciosos en las páginas del sitio.
El plugin Premium Packages – Sell Digital Products Securely en versiones anteriores a la 5.9.3 no realiza una sanitización adecuada de la entrada de usuarios y omite el escape de salida en los atributos suministrados por los usuarios. Esto facilita que atacantes autenticados puedan insertar scripts web arbitrarios en las páginas del sitio que se ejecutarán cuando un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Premium Packages – Sell Digital Products Securely a la última versión disponible, en este caso 5.9.4, y realizar una revisión de seguridad en todas las páginas del sitio afectadas por la vulnerabilidad.