El plugin Dynamic Featured Image para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘dfiFeatured’ en todas las versiones hasta, e incluyendo, la 3.7.0 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite que atacantes autenticados, con acceso de nivel Contribuidor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad de Cross-Site Scripting almacenado en Dynamic Featured Image <= 3.7.0, identificada con el ID CVE-2024-6929, pone en riesgo la seguridad de los sitios web basados en WordPress que utilicen este plugin. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en la cual se han implementado medidas de seguridad para corregir esta vulnerabilidad. Además, es importante que los administradores de sitios web estén atentos a posibles actividades sospechosas en sus páginas y realicen auditorías de seguridad de forma regular para evitar posibles ataques.
La seguridad de un sitio web es un aspecto fundamental que no debe tomarse a la ligera. Con la actualización oportuna del plugin Dynamic Featured Image a la versión corregida, se pueden prevenir ataques de Cross-Site Scripting almacenado y garantizar la integridad y confidencialidad de los datos de los usuarios de WordPress.