La vulnerabilidad CVE-2024-1386 encontrada en el plugin MailerLite – Signup forms (official) para WordPress permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas web.
La versión 1.5.0 a 1.7.6 del plugin MailerLite – Signup forms (official) para WordPress es vulnerable a Cross-Site Scripting almacenado debido a la falta de sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin MailerLite – Signup forms, la cual debería contener parches de seguridad para prevenir la inyección de scripts maliciosos. Asimismo, se insta a los administradores a monitorear de cerca las actualizaciones de sus plugins y adoptar buenas prácticas de seguridad en la gestión de sus sitios WordPress.