La vulnerabilidad CVE-2024-1985 afecta al plugin Simple Membership para WordPress, permitiendo a atacantes no autenticados realizar ataques de Cross-Site Scripting almacenado a través del parámetro ‘Nombre a mostrar’. Esta vulnerabilidad se da en todas las versiones hasta la 4.4.2 debido a una insuficiente sanitización de entrada y escape de salida.
Los atacantes podrían inyectar scripts web arbitrarios en páginas que se ejecutarían cada vez que un usuario accede a la página comprometida. Aunque para explotar esta vulnerabilidad se requiere de ingeniería social, el impacto podría ser limitado ya que el atacante necesitaría que un usuario iniciara sesión con el payload inyectado para su ejecución.
Para protegerse de esta vulnerabilidad, se recomienda actualizar el plugin Simple Membership a la última versión disponible. Además, se aconseja a los usuarios estar atentos a cualquier actividad sospechosa en sus sitios web y llevar a cabo una adecuada validación de entrada de datos para prevenir inyecciones de scripts maliciosos.