La vulnerabilidad CVE-2024-32584 afecta al plugin TeraWallet – Mejor Sistema de Billetera WooCommerce con Recompensas de Devolución de Efectivo, Pago Parcial, Devoluciones de Billetera en versiones hasta 1.5.0. Esto permite a atacantes autenticados, con permisos de Shop Manager o superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página afectada.
El plugin TeraWallet para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado debido a una sanitización insuficiente de la entrada y escapado de la salida. Esta vulnerabilidad solo afecta a instalaciones multisitio y a instalaciones donde se ha deshabilitado unfiltered_html. Los usuarios afectados deben actualizar su plugin a la versión 1.5.1 o posterior para mitigar este riesgo de seguridad. Además, se recomienda a los administradores de sitios verificar los permisos de los usuarios para evitar que usuarios malintencionados con permisos elevados aprovechen esta vulnerabilidad.
Es crucial que los propietarios de sitios que utilizan el plugin TeraWallet – Best WooCommerce Wallet System With Cashback Rewards, Partial Payment, Wallet Refunds actualicen a la última versión disponible y tomen medidas para garantizar que sus usuarios tengan permisos adecuados para evitar posibles ataques de Cross-Site Scripting almacenados. La seguridad de su sitio web es fundamental para proteger la información y la privacidad de sus usuarios.