El plugin de Gutenberg Blocks, Page Builder – ComboBlocks para WordPress es vulnerable a Cross-Site Scripting almacenado a través del bloque de Acordeón en todas las versiones hasta, e incluyendo, la 2.2.87 debido a una insuficiente sanitización de entradas y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad identificada con el ID CVE CVE-2024-7588 permite a usuarios malintencionados con ciertos niveles de acceso aprovecharse de la falta de validación adecuada de los datos de entrada para ejecutar scripts en páginas web afectadas. Para subsanar este problema, se recomienda a los usuarios la actualización inmediata del plugin ComboBlocks a la versión 2.2.88 o posterior, la cual incluye una corrección que aborda esta vulnerabilidad. Adicionalmente, se insta a los administradores de sitios web a mantener siempre actualizados sus plugins y a seguir las buenas prácticas en cuanto a seguridad WordPress.
Es crucial que los usuarios de WordPress estén al tanto de las vulnerabilidades de seguridad que pueden afectar a los plugins que utilizan y tomen medidas proactivas para proteger sus sitios. Mantener los plugins actualizados y seguir las recomendaciones de seguridad son pasos fundamentales para reducir el riesgo de explotación de vulnerabilidades como la mencionada en este reporte.