La vulnerabilidad CVE-2024-8364 encontrada en el plugin WP Custom Fields Search para WordPress permite a usuarios autenticados inyectar código malicioso en páginas web, poniendo en riesgo la seguridad de los sitios que utilicen esta extensión.
El plugin WP Custom Fields Search es vulnerable a Cross-Site Scripting almacenado a través del shortcode wpcfs-preset en todas las versiones hasta la 1.2.35. Esta vulnerabilidad se debe a una insuficiente sanitización de entrada y escape de salida en los atributos suministrados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel contribuidor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin WP Custom Fields Search a la última versión disponible. Además, se sugiere a los administradores de sitios web realizar una revisión exhaustiva de los plugins instalados y limitar los privilegios de los usuarios para reducir el riesgo de ataques de este tipo.