El plugin de Contact Form de Fluent Forms para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de formularios en todas las versiones hasta, e incluyendo, la 5.1.13 debido a una sanitización insuficiente de la entrada y escapado de la salida.
Esto permite a atacantes autentificados, con acceso a la configuración de Fluent Forms, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada. Esto puede ser combinado con CVE-2024-2771 para que un usuario de bajo privilegio pueda inyectar scripts web maliciosos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como sea posible y evitar que usuarios no autorizados accedan a la configuración de Fluent Forms para prevenir posibles ataques de Cross-Site Scripting almacenado.