El plugin Ultimate TinyMCE para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘field’ en todas las versiones hasta, e incluyendo, la 5.7 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de Contribuidor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una de las páginas inyectadas.
La vulnerabilidad identificada con el ID CVE CVE-2024-8627 en el plugin Ultimate TinyMCE permite a los atacantes autenticados realizar un ataque de Cross-Site Scripting almacenado. Los usuarios con roles de Contribuidor o mayores pueden aprovechar esta vulnerabilidad para inyectar código malicioso en páginas y posts del sitio web afectado. Para mitigar este riesgo, se recomienda actualizar el plugin a una versión más reciente que contenga una corrección para esta vulnerabilidad. Además, se aconseja a los administradores del sitio implementar prácticas de seguridad adicionales como la revisión regular de los permisos de los usuarios y la monitorización de la actividad en el sitio en busca de comportamientos sospechosos.
Es fundamental que los propietarios de sitios web que utilizan el plugin Ultimate TinyMCE estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger sus sitios. La actualización del plugin y la implementación de buenas prácticas de seguridad son cruciales para mitigar el riesgo de un ataque de Cross-Site Scripting almacenado.