El plugin Rate Star Review Vote – AJAX Reviews, Votes, Star Ratings para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘videowhisper_reviews’ en todas las versiones hasta, e incluyendo, la 1.6.3 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como sea posible. Además, se sugiere restringir el acceso de los usuarios con roles de contribuidor y superior en el sitio web para reducir la superficie de ataque potencial.
La importancia de mantener actualizados los plugins de WordPress y restringir adecuadamente los niveles de acceso de usuarios no puede ser subestimada en la protección de un sitio web contra vulnerabilidades de seguridad como la explotada por CVE-2024-13392 en el plugin Rate Star Review Vote.