La vulnerabilidad CVE-2024-9897 afecta al plugin de WordPress StreamWeasels Twitch Integration en su versión 1.8.6 y anteriores, permitiendo a atacantes autenticados con nivel de contribuidor o superior realizar ataques de Cross-Site Scripting almacenado a través del shortcode sw-twitch-embed del plugin.
La falta de sanitización de entradas y escape de salidas en los atributos proporcionados por los usuarios hace posible que los atacantes inyecten scripts web arbitrarios en las páginas, los cuales se ejecutarán cuando un usuario acceda a la página inyectada. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible, la 1.8.7, que incluye las correcciones necesarias para evitar este tipo de ataques. Además, se sugiere no confiar ciegamente en los usuarios autenticados, ya que incluso aquellos con niveles de acceso bajos pueden llegar a ser una amenaza si se explotan vulnerabilidades como esta.
Es fundamental mantener actualizados los plugins de WordPress y seguir buenas prácticas de seguridad, como limitar los permisos de los usuarios y realizar auditorías de seguridad periódicas para detectar posibles vulnerabilidades en el sitio web.