La vulnerabilidad CVE-2024-29789 en el plugin OneClick Chat to Order para WordPress permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas, lo que puede derivar en ataques de Cross-Site Scripting almacenada.
La versión 1.0.5 y anteriores del plugin OneClick Chat to Order para WordPress son vulnerables a Cross-Site Scripting almacenada debido a la insuficiente sanitización de la entrada y escape de la salida. Esto posibilita que atacantes autenticados con nivel de contribuidor o superior puedan inyectar scripts web arbitrarios en páginas, los cuales se ejecutarán cuando un usuario acceda a la página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin OneClick Chat to Order a la última versión disponible y mantener todos los plugins y temas de WordPress actualizados. Además, se debe fomentar prácticas de seguridad como la revisión constante de los permisos de usuario y la sanitización adecuada de toda la entrada de usuarios en la aplicación web.