El plugin WP Secure Maintenance para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta la 1.6 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con permisos de nivel administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde unfiltered_html ha sido deshabilitado.
La vulnerabilidad CVE-2024-4753 en el plugin WP Secure Maintenance permite a los atacantes ejecutar código JavaScript malicioso en páginas web, lo que puede conducir a acciones como robo de sesiones, redirecciones no deseadas o robo de información confidencial. Para mitigar este riesgo, se recomienda actualizar el plugin a la versión más reciente tan pronto como sea posible. Además, se deben seguir las mejores prácticas de seguridad como limitar el acceso de los usuarios a roles mínimos necesarios, realizar copias de seguridad periódicas del sitio y utilizar plugins de seguridad confiables para monitorear posibles vulnerabilidades.
La importancia de mantener actualizados todos los plugins y temas de WordPress no puede ser subestimada. La vigilancia constante y la rápida respuesta a las alertas de seguridad son fundamentales para mantener seguros los sitios web y proteger la información de los usuarios.