La vulnerabilidad CVE-2024-5582 encontrada en el plugin Schema & Structured Data for WP & AMP para WordPress permite a atacantes almacenar scripts maliciosos a través del atributo ‘url’ del plugin, lo que puede resultar en ataques de Cross-Site Scripting (XSS) en sitios web vulnerables.
El plugin Schema & Structured Data for WP & AMP hasta la versión 1.33 es vulnerable a Cross-Site Scripting almacenado debido a la insuficiente sanitización de entradas y escape de salida en los atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso a nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar el riesgo de explotación de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Schema & Structured Data for WP & AMP a la última versión disponible de inmediato. Además, se sugiere a los administradores vigilar de cerca cualquier actividad inusual en sus sitios web y restringir los privilegios de usuario para reducir el impacto de posibles ataques maliciosos.