La vulnerabilidad CVE-2024-11439 en el plugin ScanCircle para WordPress permite a atacantes autenticados con acceso de contribuidor y superior inyectar scripts web arbitrarios en páginas, lo que puede ser explotado para ejecutar código malicioso en el navegador de los usuarios.
La versión 2.9.2 y anteriores de ScanCircle sufren de una falta de sanitización de entradas y escape de salida en los atributos proporcionados por los usuarios a través del shortcode ‘scancircle’. Esto posibilita que un atacante autenticado con nivel de contribuidor o superior inyecte scripts web maliciosos en las páginas, los cuales se ejecutarán al acceder a la página comprometida.
Es fundamental que los usuarios afectados por esta vulnerabilidad actualicen a la última versión del plugin ScanCircle tan pronto como sea posible. Además, se recomienda realizar una revisión en profundidad de los permisos de los usuarios y seguir buenas prácticas de seguridad en el manejo de plugins y temas en WordPress.