La vulnerabilidad CVE-2024-5870, también conocida como ‘Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)’, afecta al tema Tweaker5 para WordPress. Los usuarios con acceso de Contribuidor o superior pueden ser capaces de inyectar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda a ella.
El tema Tweaker5 para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro ‘url’ dentro del shortcode del botón en todas las versiones hasta, e incluyendo, la 1.2 debido a una insuficiente sanitización de input y escapado de salida. Para mitigar este riesgo, los usuarios deben asegurarse de mantener su tema actualizado a la última versión disponible. Además, se recomienda restringir el acceso de Contributor y roles superiores solo a usuarios confiables y de confianza.
Es fundamental que los usuarios estén conscientes de las vulnerabilidades de seguridad en sus themes y plugins de WordPress. Al tomar medidas preventivas como las mencionadas anteriormente, se puede reducir el riesgo de ser afectado por ataques de Cross-Site Scripting y proteger la integridad de sus sitios web.