La vulnerabilidad CVE-2024-8189 conocida como CVE-2024-8189 en el plugin WP MultiTasking – WP Utilities para WordPress permite a atacantes autenticados con nivel de administrador inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada.
El plugin WP MultiTasking – WP Utilities para WordPress es vulnerable a un Cross-Site Scripting Almacenado a través del parámetro ‘wpmt_menu_name’ en todas las versiones hasta, e incluyendo, la 0.1.17 debido a una sanitización insuficiente de la entrada y a la falta de escape de salida. Esto permite a atacantes autenticados, con acceso de nivel administrador, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones de varios sitios y a instalaciones donde se ha deshabilitado unfiltered_html.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin WP MultiTasking – WP Utilities a la última versión disponible y tomar precauciones adicionales al permitir accesos de administrador a los usuarios en WordPress. Es importante mantener siempre actualizados los plugins y temas de WordPress para garantizar la seguridad de la página web.