En este reporte se expone una vulnerabilidad de Cross-Site Scripting en el plugin Branda – White Label WordPress, Custom Login Page Customizer versiones hasta 3.4.17. Esta vulnerabilidad permite a atacantes autenticados con nivel de Autor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página infectada.
La vulnerabilidad CVE-2024-5191 se debe a una neutralización inadecuada de la entrada en la generación de páginas web, lo que permite a los atacantes almacenar scripts maliciosos a través del parámetro ‘mime_types’ sin suficiente sanitización de entrada y escape de salida. Esto pone en riesgo la seguridad de los sitios web que utilizan este plugin y pueden llevar a ejecutar código no deseado en el navegador de los usuarios finales. Los usuarios afectados deben actualizar el plugin a la última versión disponible lo antes posible para mitigar este riesgo de seguridad.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para protegerse contra posibles vulnerabilidades de seguridad. En el caso específico del plugin Branda – White Label WordPress, es recomendable actualizar a la versión 3.4.18 o posterior para corregir esta vulnerabilidad de Cross-Site Scripting y garantizar la integridad de la plataforma WordPress.