La vulnerabilidad identificada como CVE-2024-9655 en el plugin Gutenberg Blocks with AI by Kadence WP – Page Builder Features permite a atacantes almacenar scripts maliciosos y ejecutarlos en páginas web de WordPress.
El plugin Gutenberg Blocks with AI by Kadence WP – Page Builder Features para WordPress es vulnerable a un ataque de Cross-Site Scripting almacenado a través del widget de Icono del plugin en todas las versiones hasta, e incluyendo, la 6.6.2 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuyente o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Gutenberg Blocks with AI by Kadence WP – Page Builder Features a la versión 6.6.3 o superior, donde se han implementado las correcciones necesarias para prevenir ataques de Cross-Site Scripting almacenado. Además, se insta a los administradores de sitios web a mantener todos los plugins y temas actualizados regularmente para protegerse contra posibles vulnerabilidades de seguridad.