La vulnerabilidad CVE-2024-10179 afecta al plugin de WordPress Slickstream: Engagement and Conversions en versiones hasta la 1.4.4, permitiendo a atacantes autenticados inyectar scripts web maliciosos a través del shortcode slick-grid.
La falta de sanitización de entrada y escape de salida en los atributos proporcionados por usuarios hace posible que atacantes autenticados, con acceso de nivel contribuidor o superior, puedan insertar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a esa página. Para mitigar este problema, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como esté disponible. También es importante mantener actualizado WordPress y todos los plugins instalados, así como restringir los permisos de usuario para limitar el riesgo de ataques de este tipo.
Es vital estar al tanto de las vulnerabilidades de seguridad en los plugins de WordPress y tomar medidas proactivas para protegerse contra posibles ataques. Mantenerse actualizado con las últimas versiones de software y seguir buenas prácticas de seguridad puede ayudar a prevenir problemas de seguridad como el Cross-Site Scripting almacenado en el plugin Slickstream: Engagement and Conversions.