La vulnerabilidad CVE-2024-0871 en el plugin Beaver Builder para WordPress permite a atacantes almacenar código malicioso en páginas web que será ejecutado cuando un usuario acceda a la página comprometida.
La versión 2.7.4.2 y anteriores de Beaver Builder son vulnerables a Cross-Site Scripting (XSS) debido a la insuficiente sanitización de entradas y escape de salida en los parámetros ‘fl_builder_data[node_preview][link]’ y ‘fl_builder_data[settings][link_target]’ del Widget de Icono. Esto significa que usuarios autenticados con nivel de contribuidor o superior pueden inyectar scripts web arbitrarios en páginas, lo que representa un riesgo de seguridad significativo.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión de Beaver Builder tan pronto como esté disponible. Además, se deben seguir las mejores prácticas de seguridad, como no confiar en entradas de usuarios no verificadas y realizar un escape adecuado de la salida para prevenir ataques XSS.