La vulnerabilidad CVE-2024-9884 en el plugin T(-) Countdown para WordPress permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas, lo que puede resultar en ataques de Cross-Site Scripting (XSS) almacenado.
El plugin T(-) Countdown para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘tminus’ en todas las versiones hasta, e incluyendo, la 2.4.8 debido a una sanitización insuficiente de entradas y escape de salidas en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada.
Se recomienda a los usuarios del plugin T(-) Countdown actualizar a la última versión disponible, en este caso, la versión 2.4.9 o posterior, para corregir esta vulnerabilidad de XSS almacenado. Además, se aconseja a los administradores del sitio restringir los permisos de los usuarios para reducir el riesgo de explotación de esta vulnerabilidad.