La vulnerabilidad CVE-2024-2255 afecta al plugin Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates para WordPress, permitiendo a atacantes autenticados con permisos de contribuidor y superiores insertar scripts web maliciosos en las páginas del sitio.
La vulnerabilidad de Cross-Site Scripting almacenado en Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates versiones anteriores a 4.5.3 se debe a una sanitización insuficiente de la entrada y un escape inadecuado de la salida en atributos proporcionados por el usuario, como listStyle. Esto permite a los atacantes autenticados con permisos de contribuidor y superiores inyectar scripts web arbitrarios en las páginas, que se ejecutarán cada vez que un usuario acceda a una página con el script inyectado.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates a la última versión disponible, además de realizar regularmente una revisión y limpieza de los contenidos generados por los usuarios para evitar la ejecución de scripts web maliciosos.