La vulnerabilidad CVE-2024-10343 en el plugin Beek Widget Extention para WordPress permite a atacantes autenticados con permisos de contribuyente o superiores inyectar scripts web arbitrarios en páginas vulnerables.
El plugin Beek Widget Extention para WordPress es vulnerable a Cross-Site Scripting almacenado a través de shortcodes en versiones hasta, e incluyendo, la 0.9.5 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados con permisos de contribuyente o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Beek Widget Extention a la última versión disponible, la cual corrige esta falla de seguridad. Además, se insta a los administradores de sitios web a revisar y limitar los permisos de los usuarios y a implementar prácticas de seguridad como la sanitización adecuada de la entrada de datos y el escape correcto de la salida para prevenir futuros ataques de este tipo.