La vulnerabilidad CVE-2024-12819 afecta al plugin Searchie para WordPress y permite a usuarios autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas del sitio.
El plugin Searchie para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘sio_embed_media’ en todas las versiones hasta, e incluyendo, la 1.17.0 debido a una sanitización insuficiente de la entrada y a una escapada inadecuada de la salida en los atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Searchie a la última versión disponible y revisar constantemente los accesos de usuario para detectar posibles actividades maliciosas.