La vulnerabilidad CVE-2024-10895 afecta al plugin Counter Up – Animated Number Counter & Milestone Showcase para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior inyectar scripts maliciosos en páginas del sitio web.
La descripción corta de la vulnerabilidad es ‘Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)’. La descripción larga detalla que el plugin es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘lgx-counter’ en todas las versiones hasta la 2.4.0. Esto se debe a una insuficiente sanitización de la entrada y escape de salida en los atributos proporcionados por el usuario. Los atacantes autenticados pueden aprovechar esta vulnerabilidad para inyectar scripts web arbitrarios que se ejecutarán cada vez que un usuario acceda a la página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible que solucione este problema de seguridad. Además, es importante seguir las buenas prácticas de seguridad, como limitar los roles y permisos de los usuarios para minimizar el impacto de posibles atacantes.