La vulnerabilidad CVE-2024-5156 en el tema de WordPress Flatsome permite a atacantes autenticados con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a esa página.
La vulnerabilidad radica en la falta de saneamiento de entrada y escape de salida en los atributos proporcionados por los usuarios a través de shortcode(s) del plugin de Flatsome. Para mitigar este riesgo, se recomienda a los usuarios actualizar rápidamente a la última versión del tema Flatsome, en este caso 3.18.8, la cual corrige esta vulnerabilidad. Además, se recomienda no otorgar permisos de contribuidor o superior a usuarios no confiables para limitar el impacto de posibles ataques de Cross-Site Scripting almacenado.
Es fundamental mantener actualizados los temas y plugins de WordPress para protegerse contra vulnerabilidades conocidas como CVE-2024-5156 en Flatsome<=3.18.7. Al mismo tiempo, es importante practicar la mínima concesión de privilegios a los usuarios para reducir el riesgo de ataques exitosos.