La vulnerabilidad CVE-2024-8861 afecta al plugin ProfileGrid – Perfiles de Usuario, Grupos y Comunidades para WordPress, permitiendo a atacantes autenticados con nivel de acceso Contributor o superior, inyectar scripts web maliciosos que se ejecutarán al visitar la página afectada.
La versión 5.9.3.2 y anteriores de ProfileGrid son vulnerables a Cross-Site Scripting almacenado debido al uso incorrecto de la función wp_kses_allowed_html, que permite el atributo ‘onclick’ para ciertos elementos HTML sin suficiente restricción o validación de contexto. Esto posibilita a los atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin ProfileGrid a la última versión disponible y mantener todos los plugins y temas de WordPress actualizados regularmente. Además, se sugiere revisar y validar cuidadosamente cualquier contenido generado por usuarios antes de ser publicado en el sitio web para prevenir ataques de Cross-Site Scripting.