La vulnerabilidad CVE-2024-1057 afecta al plugin ShopLentor – WooCommerce Builder para Elementor & Gutenberg +10 Módulos – Todo en Una Solución (anteriormente WooLentor) en su versión 2.8.1 y anteriores. Esta vulnerabilidad de Cross-Site Scripting almacenado puede ser aprovechada por atacantes autenticados con permisos de contribuidor o superiores para inyectar scripts maliciosos en las páginas de WordPress.
El plugin ShopLentor no realiza una suficiente sanitización de la entrada de usuario en atributos como ‘button_class’, lo que permite a un atacante autenticado introducir scripts web arbitrarios. Estos scripts pueden ejecutarse cada vez que un usuario accede a una página afectada, lo que podría resultar en acciones malintencionadas como robo de información o redirección a sitios webs maliciosos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin ShopLentor a la última versión disponible. Además, se aconseja a los administradores de sitios web realizar una revisión de seguridad periódica para detectar posibles vulnerabilidades y aplicar las medidas de protección necesarias.