El plugin Slider, Gallery, and Carousel by MetaSlider – Responsive WordPress Slideshows para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘metaslider’ en todas las versiones hasta la 3.70.0. Esta vulnerabilidad permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada.
La vulnerabilidad (CVE-2024-3285) se produce debido a la falta de saneamiento de la entrada y la escape de salida en los atributos proporcionados por el usuario. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible. Además, se sugiere revisar y limitar los permisos de los usuarios con acceso al plugin para reducir la superficie de ataque.
Es fundamental para la seguridad de tu sitio web mantener todos los plugins y temas actualizados para evitar posibles vulnerabilidades conocidas. Recordar seguir las mejores prácticas de seguridad, como realizar copias de seguridad periódicas y estar al tanto de las actualizaciones de seguridad de tus plugins instalados.