El plugin Post Grid Gutenberg Blocks and WordPress Blog – PostX para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la función de carga de archivos del plugin en todas las versiones hasta, e incluyendo, la versión 4.1.1 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con acceso de Autor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad identificada con el ID CVE-2024-5223 se debe a una neutralización inadecuada de etiquetas HTML relacionadas con scripts en una página web. Los atacantes autenticados pueden aprovechar esta vulnerabilidad para comprometer la seguridad de un sitio WordPress y ejecutar código malicioso en el navegador de los visitantes. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin afectado a la última versión disponible lo antes posible. Además, se debe monitorear de cerca cualquier actividad inusual en el panel de administración y restringir el acceso a roles de Usuario con permisos mínimos indispensables para sus tareas.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para prevenir la explotación de vulnerabilidades conocidas. Asimismo, se aconseja a los administradores de sitios web aplicar las prácticas recomendadas de seguridad, como realizar copias de seguridad periódicas, utilizar contraseñas seguras y limitar el acceso a cuentas privilegiadas. La vigilancia constante y la pronta respuesta a posibles incidentes son cruciales para proteger la integridad de un sitio WordPress.