La vulnerabilidad CVE-2024-2170 encontrada en el plugin VK All in One Expansion Unit para WordPress permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas, lo que puede comprometer la seguridad del sitio.
El plugin VK All in One Expansion Unit para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget de índice de páginas secundarias en todas las versiones hasta, e incluyendo, la 9.96.0.1 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario como ‘className.’ Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin VK All in One Expansion Unit a la última versión disponible y realizar una revisión exhaustiva de las páginas del sitio en busca de posibles scripts maliciosos insertados. Además, se debe tener cuidado al conceder permisos de contribuidor o superiores a usuarios en el sitio para reducir el riesgo de explotación de esta vulnerabilidad.