El plugin Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado en todas las versiones hasta la 5.1.19. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso de Administrador o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a esa página inyectada.
La vulnerabilidad CVE-2024-6518 se produce debido a una insuficiente sanitización de la entrada y escape de la salida en el plugin Fluent Forms. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible y revisar regularmente las páginas y formularios web en busca de contenido sospechoso. Además, se sugiere limitar el acceso de los usuarios con roles de Administrador a la mínima expresión necesaria para realizar sus tareas.
Es fundamental que los administradores del sitio web estén al tanto de las vulnerabilidades en plugins y temas de WordPress, y tomen medidas proactivas para protegerse contra posibles ataques. La actualización constante de software y la revisión regular de la seguridad del sitio son prácticas recomendadas para mantener la integridad de un sitio WordPress.