La vulnerabilidad CVE-2024-2840 afecta al plugin Enhanced Media Library para WordPress, permitiendo a atacantes autenticados inyectar scripts maliciosos en páginas web.
La versión 2.8.9 y anteriores del plugin Enhanced Media Library para WordPress son vulnerables a Cross-Site Scripting (XSS) almacenado a través de la funcionalidad de carga de contenido multimedia. Esta vulnerabilidad se debe a que el plugin permite la carga de archivos ‘dfxp’, lo que posibilita a atacantes autenticados con al menos permisos de autor inyectar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda a la página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Enhanced Media Library y restringir el acceso a los permisos necesarios para evitar la ejecución de scripts maliciosos por parte de posibles atacantes.