La vulnerabilidad CVE-2024-11756 permite a atacantes autenticados con acceso de colaborador o superior inyectar scripts web arbitrarios en páginas de WordPress utilizando el shortcode ‘sweepwidget’ del plugin SweepWidget Contests, Giveaways, Photo Contests, Competitions hasta la versión 2.0.6.
La falta de sanitización de entradas y escape de salidas en los atributos suministrados por los usuarios hace posible la inyección de scripts maliciosos que se ejecutarán cuando un usuario acceda a una página comprometida. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible, además de aplicar las recomendaciones de seguridad estándar como limitar el acceso de los roles de usuario y realizar revisiones periódicas de seguridad.
Es fundamental para los usuarios de WordPress mantener sus plugins actualizados y seguir las mejores prácticas de seguridad para proteger sus sitios de posibles amenazas como el XSS almacenado en el plugin SweepWidget Contests, Giveaways, Photo Contests, Competitions.