La vulnerabilidad CVE-2024-5646 afecta al plugin Futurio Extra para WordPress, permitiendo a atacantes autenticados con nivel de acceso Contributor o superior llevar a cabo ataques de Cross-Site Scripting almacenado a través del atributo ‘header_size’ del widget Advanced Text Block en versiones hasta 2.0.5.
El problema radica en la falta de sanatización de la entrada y el escape insuficiente de la salida, lo que posibilita a los atacantes inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a dicha página. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin Futurio Extra a la última versión disponible, en este caso la 2.0.6. Además, es importante revisar y filtrar cuidadosamente la entrada de datos dentro del widget Advanced Text Block para evitar posibles ataques de Cross-Site Scripting.
Es fundamental mantener actualizados todos los plugins y temas de WordPress, así como implementar buenas prácticas de seguridad como filtrar y validar la entrada de datos, para reducir la exposición a vulnerabilidades conocidas como la encontrada en Futurio Extra.