La vulnerabilidad CVE-2024-11455 se encuentra en el plugin Include Mastodon Feed para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor y superior, inyectar scripts web arbitrarios que se ejecutarán cuando un usuario accede a una página comprometida.
La versión vulnerable del plugin incluye el shortcode ‘include-mastodon-feed’ y carece de una adecuada sanitización de entrada y escape de salida en los atributos suministrados por el usuario. Esto significa que los atacantes pueden insertar código malicioso que se ejecutará en el navegador de los visitantes, poniendo en riesgo la seguridad del sitio web y la información de los usuarios.
Es crucial para los usuarios de WordPress que tengan instalado el plugin Include Mastodon Feed <= 1.9.5 actualizarlo a la última versión disponible lo antes posible. Además, se recomienda verificar regularmente la seguridad de los plugins instalados y mantener un monitoreo activo para detectar posibles vulnerabilidades.