Recientemente se ha detectado una vulnerabilidad de Cross-Site Scripting en el popular plugin de donaciones GiveWP para WordPress, que podría ser explotada por atacantes autenticados con permisos de contribuidor o superiores para inyectar scripts web maliciosos en las páginas del sitio.
La vulnerabilidad, identificada con el ID CVE-2024-1957, se debe a una sanitización insuficiente de la entrada de usuario y a la falta de escapado de la salida en los atributos proporcionados por los usuarios a través del shortcode ‘give_form’. Esto significa que los atacantes podrían insertar scripts web arbitrarios en las páginas del sitio que se ejecutarán cada vez que un usuario acceda a una página comprometida. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin GiveWP a la última versión disponible, en este caso la versión 3.6.2, que contiene un parche para este problema. Además, se debe fomentar la educación de los usuarios sobre la importancia de no confiar en entradas de usuario no validadas y en la implementación de buenas prácticas de seguridad en el desarrollo de plugins y temas para WordPress.
Es crucial mantener actualizados los plugins y temas de WordPress para proteger el sitio contra posibles vulnerabilidades de seguridad, como la recientemente descubierta en el plugin de donaciones GiveWP. Al adoptar buenas prácticas de seguridad y seguir las recomendaciones de los proveedores de software, los administradores de sitios web pueden reducir significativamente el riesgo de ataques cibernéticos y proteger la integridad de sus sitios y datos.