La vulnerabilidad CVE-2024-8628 involucra una forma de Cross-Site Scripting almacenado en el plugin de WordPress Popup, Optin Form & Email Newsletters for Mailchimp, HubSpot, AWeber – MailOptin. Esta vulnerabilidad permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas que ejecutarán cada vez que un usuario acceda a esa página inyectada.
La vulnerabilidad radica en la falta de sanitización de la entrada y escape de salida en los atributos suministrados por el usuario a través del shortcode ‘post-meta’ del plugin. Esto crea una brecha de seguridad que puede ser aprovechada por atacantes autenticados para inyectar scripts maliciosos. Para subsanar este problema, se recomienda actualizar el plugin a la versión más reciente disponible que contenga un parche para esta vulnerabilidad. Además, se deben monitorear de cerca las actualizaciones de seguridad de plugins y temas utilizados en un sitio WordPress para mitigar posibles riesgos de seguridad.
Es fundamental mantener actualizados todos los plugins y temas de WordPress, así como seguir buenas prácticas de seguridad como utilizar contraseñas fuertes y realizar copias de seguridad periódicas. Al tomar medidas proactivas para proteger un sitio web, se puede reducir significativamente el riesgo de ser víctima de vulnerabilidades de seguridad como la mencionada en este reporte.