El plugin de WordPress RabbitLoader – Website Speed Optimization for improving Core Web Vital metrics with Cache, Image Optimization, and more presenta una vulnerabilidad de Reflected Cross-Site Scripting que puede ser explotada por atacantes no autenticados para inyectar scripts web maliciosos.
La vulnerabilidad CVE-2024-8800 se debe a la falta de neutralización adecuada de la entrada durante la generación de páginas web, permitiendo que un atacante reflecta scripts maliciosos a través de la URL. Hasta la versión 2.21.0, el plugin utiliza add_query_arg sin escapar correctamente la URL, lo que puede conducir a la ejecución de scripts arbitrarios en páginas si los atacantes logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
Para mitigar el riesgo de esta vulnerabilidad, se recomienda a los usuarios de RabbitLoader actualizar a la última versión disponible lo antes posible. Además, se aconseja no hacer clic en enlaces sospechosos y mantener una buena práctica de seguridad al utilizar plugins en WordPress.