Se ha descubierto una vulnerabilidad de Cross-Site Scripting almacenado en el plugin Cookie Notice & Compliance para GDPR / CCPA para WordPress, que afecta a las versiones hasta la 2.4.17.1. Esta vulnerabilidad permite a atacantes autenticados con privilegios de administrador o superiores inyectar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda a la página /wp-admin/admin.php?page=cookie-notice.
La vulnerabilidad CVE-2022-3399 se produce debido a la insuficiente sanitización de la entrada y el escape de la salida en el parámetro ‘cookie_notice_options[refuse_code_head]’. Esto afecta a instalaciones multisitio y a instalaciones donde se ha deshabilitado ‘unfiltered_html’, lo que proporciona a los atacantes una forma de inyectar scripts web maliciosos y potencialmente comprometer la seguridad del sitio.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Cookie Notice & Compliance para GDPR / CCPA lo antes posible. Además, se aconseja a los administradores de sitios web mantener sus plugins y temas actualizados regularmente para protegerse contra posibles amenazas de seguridad.