La vulnerabilidad CVE-2024-1357 en el plugin Shortcodes y funciones adicionales para el tema Phlox de WordPress permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas web.
El plugin Shortcodes y funciones adicionales para el tema Phlox de WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode aux_timeline en todas las versiones hasta la 2.15.5 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario, como thumb_mode y date_type. Esto permite a atacantes autenticados con permisos de contribuidor y superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible lo antes posible. Además, se recomienda a los usuarios restringir los permisos de los roles de contribuidor y superiores para reducir el riesgo de posibles ataques de Cross-Site Scripting en sus sitios web.