La vulnerabilidad CVE-2024-12517 afecta al plugin WooCommerce Cart Count Shortcode para WordPress, permitiendo a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado. Esto puede resultar en la ejecución de scripts web maliciosos en las páginas del sitio comprometido.
El plugin WooCommerce Cart Count Shortcode hasta la versión 1.0.4 es propenso a Cross-Site Scripting almacenado debido a la insuficiente sanitización de la entrada y escape de la salida en los atributos proporcionados por los usuarios. Esto posibilita que atacantes autenticados, con acceso de contribuidor o superior, inyecten scripts web arbitrarios en las páginas que se ejecutarán cuando un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso la 1.0.5. Además, se debe restringir el acceso de los roles de usuario a lo estrictamente necesario para reducir la superficie de ataque potencial.