La vulnerabilidad CVE-2024-2000 en el plugin Premium Addons PRO para WordPress permite a atacantes almacenar y ejecutar scripts maliciosos en páginas web a través del parámetro ‘navigation_dots’ del widget Multi Scroll, poniendo en riesgo a los usuarios con nivel de acceso de contribuidor o superior.
La falta de sanitización de entradas y escape de salida en el widget Multi Scroll de Premium Addons PRO facilita a los atacantes autenticados con nivel de contribuidor o superior insertar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Premium Addons PRO, en este caso la versión 2.9.13 o superior. Además, se aconseja revisar regularmente la lista de plugins instalados y mantenerlos actualizados para reducir el riesgo de exposición a ataques de este tipo.