En este reporte de seguridad se describe una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin de WordPress Community by PeepSo hasta la versión 6.4.6.1. Esta vulnerabilidad permite a atacantes autenticados inyectar scripts maliciosos en páginas web para ejecutar acciones no autorizadas.
La vulnerabilidad CVE-2024-9873 afecta al plugin Community by PeepSo y permite a atacantes autenticados, con nivel de acceso de Suscriptor o superior, inyectar scripts maliciosos a través de URLs en publicaciones, comentarios y perfiles de usuarios cuando se habilita el soporte Markdown. Esto se debe a una sanitización insuficiente de la entrada y a un escape deficiente de la salida. Como resultado, los atacantes pueden ejecutar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda deshabilitar el soporte Markdown en Community by PeepSo, actualizar el plugin a la última versión disponible y monitorear de cerca las actividades de usuarios con privilegios elevados para detectar posibles intentos de inyección de scripts maliciosos.