La vulnerabilidad CVE-2024-3491 afecta al plugin Schema & Structured Data for WP & AMP para WordPress, permitiendo a atacantes autenticados con acceso de nivel contribuidor y superior realizar ataques de Cross-Site Scripting almacenado a través de los bloques ‘How To’ y ‘FAQ’.
La falta de saneamiento de entrada y escape de salida en atributos proporcionados por el usuario en las versiones hasta la 1.29 del plugin hace posible que los atacantes inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a esa página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Schema & Structured Data for WP & AMP tan pronto como esté disponible. Además, se aconseja a los administradores de sitios web realizar una revisión de seguridad periódica para identificar y solucionar posibles vulnerabilidades en plugins y temas de WordPress.