Una vulnerabilidad de Cross-Site Scripting almacenado ha sido descubierta en el plugin GDPR-Extensions-com – Consent Manager para WordPress. Esta vulnerabilidad permite a atacantes autenticados inyectar scripts web arbitrarios en las páginas del sitio.
La vulnerabilidad CVE-2024-9072, denominada Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’), afecta al plugin Consent Manager en su versión 1.0.0 y anteriores. Esto se debe a una sanitización insuficiente de la entrada y a la falta de escape de la salida de datos. Un atacante autenticado con permisos de Autor o superior puede aprovechar esta vulnerabilidad para cargar archivos SVG maliciosos que ejecutarán scripts en el navegador de los usuarios que accedan al archivo.
Para mitigar el riesgo de explotación de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin GDPR-Extensions-com – Consent Manager a la última versión disponible. Además, se aconseja a los administradores del sitio que controlen de cerca las cargas de archivos y que implementen políticas de seguridad para prevenir ataques de inyección de scripts web en WordPress.