La vulnerabilidad CVE-2024-1168 en el plugin SEOPress – On-site SEO para WordPress permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web maliciosos a través de la URL de la imagen social del plugin.
Esta vulnerabilidad de Cross-Site Scripting almacenado se debe a la falta de sanitización de entrada y escape de salida en las URLs de imágenes suministradas por el usuario. Esto significa que los atacantes pueden ejecutar scripts web arbitrarios en las páginas cuando un usuario accede a una página comprometida. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin SEOPress a la última versión disponible, la cual debería incluir correcciones para esta vulnerabilidad. Además, se aconseja no aceptar URLs de imagen no confiables en la configuración del plugin y limitar el acceso de los contribuidores a funciones sensibles para reducir el impacto de posibles ataques.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para protegerse contra vulnerabilidades conocidas como esta del SEOPress – On-site SEO. La seguridad debe ser una prioridad en la administración de sitios web para evitar posibles consecuencias negativas derivadas de ataques exitosos.