La vulnerabilidad CVE-2024-12527 afecta al plugin Perfect Portal Widgets para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas.
La vulnerabilidad de Cross-Site Scripting almacenado en Perfect Portal Widgets <= 3.0.3 se debe a una sanitización insuficiente de la entrada y al escape de salida en los atributos proporcionados por el usuario. Esto posibilita que los atacantes autenticados, con acceso de contribuidor y superior, puedan inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
Para mitigar el riesgo de explotación de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso la 3.0.4. Además, se insta a los administradores a restringir los permisos de los usuarios en WordPress y a validar la entrada de datos para prevenir ataques de este tipo en el futuro.