La vulnerabilidad CVE-2024-1074 afecta al plugin Beaver Builder – WordPress Page Builder en versiones hasta 2.7.4.2, permitiendo a atacantes autenticados realizar Cross-Site Scripting a través del parámetro ‘link_url’ del widget de audio.
Se ha identificado que la falta de sanitización de entradas y escape de salidas en el plugin Beaver Builder – WordPress Page Builder permite a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web arbitrarios en páginas, los cuales se ejecutarán cada vez que un usuario acceda a la página inyectada. Esta vulnerabilidad puede conducir a la ejecución de código malicioso en el navegador de los usuarios, comprometiendo la seguridad del sitio web.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Beaver Builder – WordPress Page Builder a la última versión disponible lo antes posible. Además, se sugiere restringir los permisos de los usuarios para limitar la posibilidad de explotar esta vulnerabilidad en caso de que no se pueda actualizar inmediatamente.