La vulnerabilidad CVE-2024-5901 afecta al plugin SiteOrigin Widgets Bundle para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior inyectar scripts maliciosos en páginas web.
La versión 1.62.2 y anteriores del plugin SiteOrigin Widgets Bundle para WordPress son vulnerables a Cross-Site Scripting almacenado a través del widget Image Grid debido a una insuficiente sanitización de la entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión disponible del plugin SiteOrigin Widgets Bundle y mantener todos los plugins y temas de WordPress actualizados regularmente para protegerse contra posibles ataques de inyección de código malicioso.