La vulnerabilidad CVE-2024-0559 en el plugin Enhanced Text Widget para WordPress permite a atacantes autenticados con nivel de administrador inyectar scripts web maliciosos en páginas, lo que puede provocar la ejecución de acciones no deseadas cuando un usuario accede a una página comprometida.
El plugin Enhanced Text Widget para WordPress es vulnerable a Cross-Site Scripting almacenado a través de las opciones de los widgets en todas las versiones hasta, e incluyendo, la 1.6.5 debido a una insuficiente sanitización de la entrada y escapado del texto de salida. Esto permite a atacantes autenticados, con acceso de nivel administrador, inyectar scripts web arbitrarios en las páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida. Esta vulnerabilidad solo afecta a instalaciones multi-sitio y a instalaciones donde se ha deshabilitado unfiltered_html.
Es crucial que los usuarios que utilicen el plugin Enhanced Text Widget actualicen a la versión más reciente, en este caso a la 1.6.6 o superior, la cual contiene la solución a esta vulnerabilidad. Además, se recomienda mantener todos los plugins y temas de WordPress actualizados regularmente para reducir el riesgo de sufrir este tipo de ataques.