La vulnerabilidad CVE-2024-0609 afecta al plugin WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting para WordPress. Esta vulnerabilidad de Cross-Site Scripting almacenado permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página comprometida.
La vulnerabilidad se debe a una insuficiente sanitización de la entrada y escape de la salida del parámetro ‘api_key’ en todas las versiones hasta la 1.12.9 del plugin. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión disponible del plugin WP ERP. Además, se aconseja revisar los permisos de acceso al plugin y limitar la exposición de la ‘api_key’ a usuarios no autorizados.
Es fundamental para los usuarios de WP ERP tomar medidas proactivas para proteger sus sitios web de posibles ataques de Cross-Site Scripting almacenados. Mantener el software actualizado y restringir el acceso a funciones sensibles puede ayudar a prevenir este tipo de vulnerabilidades.