La vulnerabilidad CVE-2024-2306 afecta al plugin Revslider para WordPress y permite a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado, lo que puede comprometer la seguridad de un sitio web.
La versión 6.6.20 y anteriores del plugin Revslider son vulnerables a ataques de Cross-Site Scripting almacenado debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados inyectar scripts web arbitrarios en las páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada. Por defecto, esto solo puede ser explotado por administradores, pero la capacidad de utilizar y configurar Revslider se puede extender a autores.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Revslider y seguir buenas prácticas de seguridad como limitar los privilegios de los usuarios y mantener un monitoreo constante de posibles actividades maliciosas en el sitio web.