Se ha identificado una vulnerabilidad de Cross-Site Scripting en el plugin Rotating Tweets (Twitter widget and shortcode) para WordPress. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso de contribuidor o superior, inyectar scripts web maliciosos en páginas, comprometiendo la seguridad del sitio.
La vulnerabilidad CVE-2024-5141 en Rotating Tweets (Twitter widget and shortcode) hasta la versión 1.9.10 se debe a una sanitización insuficiente de la entrada y escape insuficiente de la salida en los atributos proporcionados por el usuario. Esto posibilita que atacantes autenticados realicen inyecciones de scripts web arbitrarios en las páginas, los cuales se ejecutarán cuando un usuario acceda a la página comprometida.
Para mitigar el riesgo de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Rotating Tweets a la última versión disponible. Además, se sugiere tener cuidado al otorgar permisos de acceso a contribuidores y niveles superiores, limitando su capacidad de inyectar código malicioso en el sitio.