El plugin Animated Headline para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘animated-headline’ en todas las versiones hasta la 4.0. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida.
La vulnerabilidad CVE-2024-2304 es el resultado de una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por los usuarios en el shortcode ‘animated-headline’ del plugin Animated Headline. Esto abre la puerta a posibles ataques de Cross-Site Scripting que pueden comprometer la seguridad de un sitio web WordPress. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la versión más reciente disponible y no confiar en la entrada de datos de usuarios no autenticados.
Es fundamental para los administradores de sitios web WordPress mantener sus plugins actualizados y seguir las mejores prácticas de seguridad para evitar ser víctimas de ataques de Cross-Site Scripting como el descrito en esta vulnerabilidad de Animated Headline <= 4.0.