La vulnerabilidad CVE-2024-10055 encontrada en el plugin Click to Chat – WP Support All-in-One Floating Widget para WordPress podría permitir a un atacante con acceso de contribuidor o superior, realizar ataques de Cross-Site Scripting almacenado a través del shortcode wpsaio_snapchat, poniendo en riesgo la seguridad de los usuarios del sitio.
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Click to Chat – WP Support All-in-One Floating Widget <= 2.3.3 se debe a una insuficiente sanitización de entrada y escapado de salida en los atributos suministrados por el usuario. Esto podría permitir a un atacante autenticado insertar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada.
Para protegerse de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible. Además, se insta a los administradores del sitio a restringir el acceso de contribuidores y roles superiores a personas de confianza para reducir el riesgo de ataques.