La vulnerabilidad CVE-2024-1056 afecta al plugin FunnelKit Funnel Builder Pro para WordPress, permitiendo a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado a través de la función ‘allow_iframe_tag_in_post’.
El plugin utiliza el filtro ‘wp_kses_allowed_html’ para permitir globalmente etiquetas de script e iframe en las publicaciones en todas las versiones hasta la 3.4.5. Esto posibilita que atacantes autenticados, con acceso de contribuidor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Funnel Kit Funnel Builder Pro a la última versión disponible y revisar las entradas de los contribuidores en busca de contenido malicioso.