En este informe se detalla una vulnerabilidad de Cross-Site Scripting almacenado en el plugin SiteOrigin Widgets Bundle para WordPress, que afecta a todas las versiones hasta 1.61.1. Esta vulnerabilidad permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada.
La vulnerabilidad CVE-2024-5090 en el plugin SiteOrigin Widgets Bundle se debe a una insuficiente sanitización de la entrada y escape de la salida en los atributos suministrados por el usuario, específicamente en el Widget de Blog de SiteOrigin. Esto puede ser aprovechado por atacantes autenticados para llevar a cabo ataques de Cross-Site Scripting almacenado, lo que pone en riesgo la seguridad de los sitios web.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin SiteOrigin Widgets Bundle tan pronto como sea posible. Además, se debe ejercer precaución al otorgar permisos de contribuidor y superiores a los usuarios, y se recomienda realizar auditorías de seguridad regulares en los plugins y temas utilizados en un sitio WordPress para evitar posibles vulnerabilidades de seguridad.