La vulnerabilidad CVE-2024-6870 afecta al plugin Responsive Lightbox & Gallery para WordPress en versiones hasta 2.4.7, permitiendo a atacantes autenticados generar scripts maliciosos que se ejecutarán en las páginas del sitio.
La falta de saneamiento de entrada y de escapado de salida en el punto final rl_upload_image de AJAX permite a atacantes autenticados con al menos acceso de Autor inyectar scripts web maliciosos. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, la 2.4.8, que soluciona este problema de seguridad. Además, se aconseja limitar el acceso de los usuarios a roles con menos privilegios para reducir el riesgo de explotación.
Es fundamental que los administradores de sitios web de WordPress estén al tanto de las vulnerabilidades en plugins populares como Responsive Lightbox & Gallery y tomen medidas proactivas para proteger sus sitios y usuarios.