La vulnerabilidad CVE-2024-2506 afecta al plugin de WordPress Popup Builder, permitiendo a usuarios autenticados con nivel de contributor y superior inyectar scripts web arbitrarios en páginas, lo que puede ser explotado para ejecutar acciones maliciosas en los navegadores de los usuarios.
El plugin Popup Builder hasta la versión 4.2.7 es vulnerable a Cross-Site Scripting almacenado debido a una falta de saneamiento de entrada y escape de salida en los atributos proporcionados por el usuario. Para mitigar este riesgo, los usuarios deben actualizar el plugin a la última versión disponible, que soluciona esta vulnerabilidad. Adicionalmente, se recomienda no asignar permisos de contributor a usuarios no confiables y no ejecutar scripts de terceros sin validar previamente su seguridad.
Es fundamental mantener actualizados todos los plugins de WordPress y aplicar buenas prácticas de seguridad, como limitar los permisos de los usuarios y validar cualquier contenido externo antes de su ejecución, para prevenir ataques de Cross-Site Scripting como el caso de Popup Builder.