La vulnerabilidad CVE-2024-1399 en el plugin Restaurant Menu – Food Ordering System – Table Reservation para WordPress permite a atacantes autenticados con permisos de nivel contribuidor o superior inyectar scripts web arbitrarios en páginas del sitio.
La versión 2.4.0 y anteriores del plugin sufren de una falta de saneamiento de entrada y escape de salida en los atributos suministrados por el usuario a través de los shortcodes del plugin. Esto posibilita que un atacante autenticado pueda ejecutar scripts maliciosos en las páginas del sitio, afectando a usuarios que accedan a dichas páginas comprometidas.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible, la cual debería abordar las deficiencias de saneamiento de entrada y escape de salida que permiten la ejecución de scripts web arbitrarios.