La vulnerabilidad CVE-2024-27189 en el plugin de WordPress WP Social Widget hasta la versión 2.2.5 permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas del sitio.
El plugin de WP Social Widget es vulnerable a Cross-Site Scripting almacenado a través del shortcode del plugin en todas las versiones hasta la 2.2.5 debido a la insuficiente sanitización de la entrada y escapado de la salida en los atributos suministrados por el usuario. Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, la 2.2.6. Además, se sugiere seguir buenas prácticas de seguridad como limitar los permisos de usuario en el sitio y realizar un filtrado adecuado de la entrada de datos para prevenir ataques de Cross-Site Scripting.