La vulnerabilidad CVE-2024-2732 en el plugin de WordPress Themify Shortcodes hasta la versión 2.0.8 permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts maliciosos en páginas que se ejecutarán cuando un usuario acceda a dicha página.
El plugin Themify Shortcodes es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘themify_post_slider’ debido a una insuficiente sanitización de entrada y escapado de salida en los atributos proporcionados por los usuarios. Esto significa que los atacantes autenticados pueden insertar scripts web arbitrarios en páginas para que se ejecuten al ser visitadas por un usuario.
Para mitigar esta vulnerabilidad, los usuarios deben actualizar a la última versión disponible del plugin Themify Shortcodes y ser cautelosos al permitir el acceso de contribuidores y roles superiores en sus sitios web. Además, se recomienda implementar medidas adicionales de seguridad como firewalls de aplicaciones web y escaneos regulares en busca de posibles amenazas.