La vulnerabilidad CVE-2024-4042 en el plugin Combo Blocks permite a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado en WordPress.
El plugin Combo Blocks para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘class’ del bloque menu-wrap-item en todas las versiones hasta, e incluyendo, la 2.2.80 debido a la falta de saneamiento de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Combo Blocks a la última versión disponible y mantener todos los plugins y temas de WordPress actualizados regularmente. Además, se debe educar a los usuarios sobre las buenas prácticas de seguridad, como no hacer clic en enlaces no verificados y no proporcionar información confidencial en sitios web no confiables.