La vulnerabilidad CVE-2024-2436 en el plugin Lightweight Accordion para WordPress permite a atacantes autenticados con permisos de nivel contribuidor y superiores inyectar scripts web arbitrarios en las páginas del sitio.
La versión 1.5.16 y anteriores del plugin Lightweight Accordion son vulnerables a Cross-Site Scripting almacenado debido a una insuficiente sanitización de la entrada y escape de la salida en los atributos suministrados por los usuarios a través de los shortcodes del plugin. Esto puede permitir a un atacante con permisos de contribuidor o superior inyectar scripts web arbitrarios que se ejecutarán cada vez que un usuario acceda a la página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Lightweight Accordion tan pronto como esté disponible. Además, se aconseja a los administradores de sitios WordPress restringir los permisos de los roles de usuario para limitar el riesgo de que un atacante aproveche esta vulnerabilidad.