La vulnerabilidad CVE-2024-1993, también conocida como Improper Neutralization of Script-Related HTML Tags en una página web (XSS básico), afecta al plugin Icon Widget para WordPress en versiones hasta 1.3.0.
El plugin Icon Widget para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta, e incluyendo, la 1.3.0 debido a una insuficiente sanitización de la entrada y escape de salida en los atributos suministrados por el usuario. Esto permite que atacantes autenticados con permisos de nivel contribuidor o superior inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Icon Widget a la última versión disponible inmediatamente. Además, se debe evitar confiar únicamente en la autenticación del usuario para prevenir ataques y siempre validar y sanitizar adecuadamente las entradas de los usuarios antes de procesarlas en la aplicación.