En este reporte se expone una vulnerabilidad de Cross-Site Scripting almacenado en el plugin Shopkeeper Extender para WordPress, que afecta a todas las versiones hasta la 3.5. Esta vulnerabilidad permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts maliciosos en páginas que se ejecutarán al ser accedidas por un usuario.
La vulnerabilidad CVE-2024-2801 en el plugin Shopkeeper Extender se produce debido a una sanitización insuficiente de la entrada de usuario y a la falta de escape de la salida en los atributos proporcionados por el usuario. Esto permite que atacantes autenticados con privilegios de contribuidor y superior puedan inyectar scripts web arbitrarios en páginas, lo que representa un riesgo para la seguridad de los usuarios del sitio web.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Shopkeeper Extender, en la cual se hayan aplicado parches de seguridad para corregir esta vulnerabilidad. Además, se recomienda a los administradores del sitio web realizar un monitoreo constante de las actualizaciones de seguridad y practicar buenas prácticas de seguridad informática para protegerse de posibles ataques de este tipo.