La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Print-O-Matic para WordPress permite a atacantes autenticados inyectar scripts maliciosos en las páginas del sitio web, poniendo en riesgo a los usuarios que acceden a dichas páginas.
La versión 2.1.10 y anteriores del plugin Print-O-Matic son vulnerables a Cross-Site Scripting almacenado a través del shortcode ‘print-me’, debido a la falta de saneamiento de la entrada y escape de la salida en atributos suministrados por el usuario como ‘tag’. Esto permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en las páginas que se ejecutarán cuando un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Print-O-Matic a la última versión disponible y restringir el acceso de usuarios no confiables con permisos de contribuidor o superiores para reducir el riesgo de explotación de la vulnerabilidad CVE-2024-3671.