La vulnerabilidad CVE-2024-9885 en el plugin Widget or Sidebar Shortcode para WordPress permite a atacantes autenticados inyectar scripts maliciosos en páginas web.
El plugin Widget or Sidebar Shortcode para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘sidebar’ en todas las versiones hasta, e incluyendo, la 0.6.1 debido a la insuficiente saneamiento de entradas y escape de salidas en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Widget or Sidebar Shortcode a la última versión disponible y verificar regularmente las entradas de usuarios en los shortcodes para evitar la ejecución de scripts maliciosos.