El complemento ShopLentor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode woolentorsearch del complemento en todas las versiones hasta, e incluyendo, la 2.8.8 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel contributor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad identificada como CVE-2024-3345 en el complemento ShopLentor <= 2.8.8 permite a los atacantes autenticados llevar a cabo ataques de Cross-Site Scripting almacenado. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del complemento ShopLentor para evitar posibles ataques. Además, es importante educar a los usuarios con privilegios de contribuidor y superiores sobre las prácticas seguras de gestión de contenido para prevenir la inserción de scripts maliciosos en las páginas del sitio web.
Es crucial que los administradores de sitios web que utilicen el complemento ShopLentor estén al tanto de esta vulnerabilidad y tomen medidas proactivas para proteger sus sitios hacia futuros ataques de Cross-Site Scripting almacenado. La actualización regular del complemento y la capacitación continua sobre seguridad son pasos fundamentales para mantener la integridad y seguridad del sitio web.