Recopilación de vulnerabilidades WordPress.

Vulnerabilidad de Cross-Site Scripting en el plugin Social proof testimonials and reviews by Repuso <= 5.20 – Autenticado (Contributor+) Almacenado

La vulnerabilidad CVE-2024-13351, titulada ‘Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)’, afecta al plugin de WordPress Social proof testimonials and reviews by Repuso. Esta vulnerabilidad permite a un atacante autenticado, con nivel de contributor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a esa página inyectada.

La vulnerabilidad reside en el shortcode ‘rw_image_badge1’ del plugin en todas las versiones hasta la 5.20, debido a una insuficiente sanitización de la entrada y escapado de la salida de los atributos suministrados por el usuario. Esto puede resultar en un ataque de Cross-Site Scripting almacenado que podría ser utilizado por un atacante para llevar a cabo diversas acciones maliciosas en el sitio comprometido.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Social proof testimonials and reviews by Repuso a la última versión disponible. Además, se insta a los administradores de sitios web a implementar prácticas de seguridad adicionales, como limitar los privilegios de los usuarios para reducir el impacto de posibles ataques.

Related Article