Recopilación de vulnerabilidades WordPress.

Ultimate Member <= 2.8.6 – Cross-Site Scripting Almacenado por Usuarios Autenticados (Contribuidor+)

La vulnerabilidad CVE-2024-8519 afecta al plugin de WordPress Ultimate Member en versiones hasta la 2.8.6, permitiendo a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas del sitio afectado.

El plugin Ultimate Member es vulnerable a Cross-Site Scripting (XSS) almacenado a través del shortcode ‘um_loggedin’ debido a la falta de sanitización de la entrada y escape de la salida de atributos suministrados por usuarios. Esto significa que usuarios maliciosos pueden inyectar scripts web arbitrarios que se ejecutarán cada vez que un usuario acceda a la página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Ultimate Member a la última versión disponible y mantener todos los plugins y temas de WordPress actualizados. Asimismo, se aconseja restringir el acceso de contribuidores y roles superiores para reducir el riesgo de exposición a ataques XSS almacenados.

Related Article