La vulnerabilidad CVE-2024-11192 encontrada en el plugin Spotify Play Button para WordPress permite a atacantes autenticados llevar a cabo ataques de Cross-Site Scripting almacenado mediante el shortcode spotifyplaybutton.
El plugin Spotify Play Button para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode spotifyplaybutton en todas las versiones hasta la 2.11. Esto se debe a una insuficiente sanitización de la entrada y escape de salida en los atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Spotify Play Button para WordPress a la última versión disponible y mantenerse al tanto de las actualizaciones de seguridad. Además, se aconseja evitar el uso de atributos no validados en el shortcode spotifyplaybutton para prevenir ataques de Cross-Site Scripting almacenado.