La vulnerabilidad CVE-2024-2471 en el plugin de WordPress FooGallery permite a atacantes almacenar scripts maliciosos que se ejecutarán cuando un usuario acceda a una página comprometida.
La versión 2.4.14 y anteriores de FooGallery son susceptibles a un Cross-Site Scripting almacenado debido a una insuficiente sanización de la entrada y escape de la salida en los campos de adjuntos de imagen, como ‘Título’, ‘Texto Alternativo’, ‘URL Personalizada’, ‘Clase Personalizada’ y ‘Tipo de Anulación’. Esto posibilita a atacantes autenticados con acceso de autor en adelante, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin FooGallery a la versión más reciente disponible y ser cautelosos al permitir acceso de autor o superior a sus sitios web, además de revisar y sanear regularmente los datos de los campos de adjuntos de imagen.