La vulnerabilidad CVE-2024-4632 afecta al plugin WooCommerce Checkout & Funnel Builder por CartFlows para WordPress, permitiendo a atacantes con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas del sitio.
La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin WooCommerce Checkout & Funnel Builder por CartFlows hasta la versión 2.0.7 se debe a una sanitización insuficiente de la entrada y a la falta de escapado de la salida. Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas del sitio que se ejecutarán cada vez que un usuario acceda a la página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin WooCommerce Checkout & Funnel Builder por CartFlows a la versión 2.0.8 o superior tan pronto como sea posible. Además, se aconseja a los administradores del sitio implementar medidas de seguridad adicionales y realizar auditorías regulares para detectar y corregir posibles vulnerabilidades.