La vulnerabilidad CVE-2024-10320 en el plugin Cookielay para WordPress permite a atacantes autenticados con nivel de acceso contributor o superior inyectar scripts maliciosos en páginas a través del shortcode cookielay, poniendo en riesgo la seguridad de los usuarios del sitio.
La versión 1.2.0 y anteriores del plugin Cookielay presentan un fallo de tipo Stored Cross-Site Scripting debido a la falta de sanitización de entradas y escape de las salidas en los atributos proporcionados por los usuarios. Esto posibilita que un atacante autenticado pueda insertar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página manipulada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Cookielay a la versión más reciente disponible y mantener todos los plugins y temas de WordPress actualizados regularmente. Además, se recomienda que los administradores de sitios WordPress limiten los privilegios de los usuarios, otorgando únicamente los permisos necesarios para llevar a cabo sus tareas.