Se ha identificado una vulnerabilidad de Cross-Site Scripting en el plugin MyBookProgress by Stormhill Media para WordPress, que afecta a todas las versiones hasta la 1.0.8. Esta vulnerabilidad permite a atacantes autenticados con acceso de nivel Contributor y superior inyectar scripts web arbitrarios en páginas que serán ejecutados cuando un usuario acceda a la página comprometida.
La vulnerabilidad CVE-2024-12598 se debe a la falta de saneamiento de la entrada y escape de la salida en el parámetro ‘book’. Los atacantes pueden explotar esta vulnerabilidad para ejecutar scripts maliciosos en páginas web, lo que puede conducir a ataques de phishing, robo de sesiones o redireccionamiento a sitios web maliciosos. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la versión más reciente disponible, en este caso, 1.0.9. Además, se debe monitorear de cerca cualquier actividad sospechosa en el sitio web y restringir los privilegios de los roles de usuario para limitar el acceso a funciones sensibles.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para evitar vulnerabilidades conocidas. En el caso de MyBookProgress by Stormhill Media, se recomienda a los usuarios actualizar a la última versión disponible y seguir prácticas de seguridad sólidas para proteger sus sitios web contra ataques de Cross-Site Scripting y otras amenazas cibernéticas.