La vulnerabilidad CVE-2024-2657, conocida como ‘Improper Neutralization of Alternate XSS Syntax’, afecta al plugin Font Farsi para WordPress en versiones hasta 1.6.6. Esto permite a atacantes autenticados con permisos de administrador o superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página afectada.
El problema radica en la falta de sanitización de entradas y escape de salidas en la configuración de administrador del plugin Font Farsi. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible. Además, se debe educar a los usuarios sobre los riesgos de clicar en enlaces de fuentes desconocidas y deshabilitar la ejecución de scripts en páginas a menos que sea estrictamente necesario.
Es crucial que los administradores de sitios web con instalaciones de WordPress que utilicen el plugin Font Farsi estén al tanto de esta vulnerabilidad y tomen medidas preventivas para evitar posibles ataques de Cross-Site Scripting almacenado en sus sitios.