La vulnerabilidad CVE-2024-11440 en el plugin Grey Owl Lightbox para WordPress permite a usuarios autenticados con nivel de contribuidor o superior realizar ataques de Cross-Site Scripting almacenado a través del shortcode ‘gol_button’ del plugin en todas las versiones hasta, e incluyendo, la 1.6.1.
El problema radica en la insuficiente sanitización de entrada y escapado de salida en los atributos suministrados por el usuario. Esto permite que atacantes autenticados inyecten scripts web arbitrarios en las páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Grey Owl Lightbox a la última versión disponible y, como medida adicional, restringir los permisos de los usuarios autenticados en WordPress para reducir el riesgo de que un atacante pueda aprovechar esta vulnerabilidad.