La vulnerabilidad CVE-2024-5937 se ha encontrado en el plugin Simple Alert Boxes para WordPress, permitiendo a atacantes autenticados inyectar scripts maliciosos en páginas del sitio web.
El plugin Simple Alert Boxes para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode de Alert en todas las versiones hasta, e incluyendo, la 1.4.0 debido a la insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel contribuidor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
Se recomienda a los usuarios del plugin Simple Alert Boxes que actualicen a la última versión disponible para mitigar esta vulnerabilidad. Además, se insta a los administradores a monitorear de cerca la actividad de los contribuidores y usuarios con roles superiores para detectar comportamientos sospechosos.