La vulnerabilidad CVE-2024-6264, conocida como Cross-Site Scripting (XSS) almacenado, afecta al plugin Post Meta Data Manager para WordPress en versiones hasta la 1.2.3. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso Contributor o superior inyectar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda a dicha página.
La falta de saneamiento de la entrada de datos y de escape de salida en el parámetro ‘$meta_key’ del plugin Post Meta Data Manager hace que sea posible realizar ataques de XSS almacenado. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, a la versión 1.2.4. Además, se aconseja a los administradores del sitio que limiten el acceso de los roles de usuario y que implementen una política de seguridad sólida para prevenir futuros ataques de este tipo.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para protegerse contra vulnerabilidades conocidas como la de XSS almacenado en el plugin Post Meta Data Manager. La seguridad de un sitio web es responsabilidad de todos los involucrados, por lo que es importante tomar medidas proactivas para garantizar la protección de la información y de los usuarios.