La vulnerabilidad CVE-2024-5922 en el tema Scylla lite para WordPress permite a atacantes autenticados con nivel de acceso Contributor o superior realizar ataques de Cross-Site Scripting almacenado a través del parámetro ‘url’ en el shortcode de botón del tema.
La versión 1.8.3 y anteriores de Scylla lite no sanitizan adecuadamente la entrada de datos y no escapan la salida, lo que permite a un atacante inyectar scripts web arbitrarios en las páginas. Esto significa que un atacante podría ejecutar código malicioso cada vez que un usuario acceda a una página infectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión de Scylla lite tan pronto como sea posible. Además, se debe tener precaución al permitir a usuarios con roles de Contributor o superiores agregar contenido que incluya shortcodes, y se recomienda revisar y limpiar regularmente el contenido generado por los usuarios para evitar ataques de Cross-Site Scripting.