La vulnerabilidad CVE-2024-5966 afecta al tema Grey Opaque para WordPress, permitiendo a atacantes autenticados con nivel de Contributor o superior realizar ataques de Cross-Site Scripting almacenado a través del shortcode de Download-Button.
El tema Grey Opaque para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘url’ dentro del shortcode Download-Button en todas las versiones hasta la 2.0.1 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados injectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página injectada.
Se recomienda a los usuarios del tema Grey Opaque actualizar a la versión 2.0.2 o posterior para protegerse contra esta vulnerabilidad de Cross-Site Scripting almacenado. Además, se debe estar atento a futuras actualizaciones de seguridad y practicar una buena higiene de seguridad al trabajar con temas y plugins en WordPress.