La vulnerabilidad CVE-2024-2456 en el plugin Ecwid Ecommerce Shopping Cart para WordPress permite a atacantes autenticados con permisos de nivel contribuidor o superior inyectar scripts maliciosos en páginas web.
El plugin Ecwid Ecommerce Shopping Cart para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta 6.12.10 debido a una insuficiente sanitización de entradas y escape de salida en atributos proporcionados por el usuario. Esto permite a los atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Se recomienda a los usuarios de Ecwid Ecommerce Shopping Cart actualizar a la última versión disponible para evitar la explotación de esta vulnerabilidad. Además, se aconseja a los usuarios ser cautos al proporcionar permisos de contribuidor o superiores a usuarios no confiables.