La vulnerabilidad CVE-2024-1519 afecta al plugin Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress en versiones hasta la 4.14.4. Esta vulnerabilidad permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada.
La vulnerabilidad de Cross-Site Scripting Almacenado en Paid Membership Plugin es causada por una neutralización inadecuada de la entrada de datos durante la generación de páginas web. Esto significa que los atacantes pueden insertar código malicioso en el parámetro ‘name’ del plugin, lo que puede llevar a la ejecución de scripts no deseados en el navegador de los usuarios. Para mitigar esta vulnerabilidad, se recomienda desactivar la página de listado de miembros y cambiar el tema de Gerbera a uno más seguro.
Es crucial que los administradores de sitios web que utilicen el plugin Paid Membership Plugin actualicen a la última versión disponible, en este caso, la 4.14.5 o posterior, que incluye medidas de seguridad mejoradas para prevenir este tipo de ataques de Cross-Site Scripting Almacenado.