La vulnerabilidad CVE-2024-10176 en el plugin Compact WP Audio Player para WordPress permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts maliciosos en las páginas del sitio web.
El plugin Compact WP Audio Player en todas las versiones hasta la 1.9.13 es vulnerable a Cross-Site Scripting almacenado a través del shortcode sc_embed_player del plugin debido a una insuficiente sanitización de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en las páginas que se ejecutarán cada vez que un usuario acceda a la página afectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible. Asimismo, se insta a los administradores a restringir los permisos de los usuarios para reducir el riesgo de que un atacante pueda aprovechar esta vulnerabilidad.