La vulnerabilidad CVE-2024-9545, denominada ‘Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)’, afecta al plugin Shortcodes and extra features for Phlox theme en WordPress y permite a atacantes autenticados inyectar scripts maliciosos en páginas vulnerable.
El plugin Shortcodes and extra features for Phlox theme presenta una vulnerabilidad de Cross-Site Scripting almacenado a través de los shortcodes aux_contact_box y aux_gmaps en todas las versiones hasta la 2.16.4. Esto se debe a una insuficiente sanitización de la entrada y escape de la salida en los atributos proporcionados por los usuarios. Como resultado, los atacantes autenticados con un nivel de acceso de contribuidor o superior pueden inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la última versión disponible, ya que los desarrolladores del plugin han solucionado este problema en versiones posteriores a la 2.16.4. Además, se aconseja a los usuarios no confiar ciegamente en las entradas de los usuarios y validar y escapar correctamente los datos de entrada para prevenir ataques de Cross-Site Scripting.