El plugin WP Cookie Consent (para GDPR, CCPA y ePrivacy) para WordPress es vulnerable a Cross-Site Scripting almacenado a través del encabezado ‘Client-IP’ en todas las versiones hasta, e incluyendo, la 3.2.0 debido a una insuficiente sanitización de entradas y escapado de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-4869 se produce debido a la falta de validación adecuada de las entradas de usuario, lo que permite a los atacantes cargar código malicioso en el encabezado ‘Client-IP’ y ejecutar scripts en el contexto del usuario que ve la página afectada. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como esté disponible. Además, se aconseja no hacer clic en enlaces sospechosos o abrir archivos adjuntos de fuentes desconocidas para evitar posibles ataques de phishing.
Es fundamental que los usuarios de WP Cookie Consent (para GDPR, CCPA y ePrivacy) estén al tanto de esta vulnerabilidad y tomen medidas inmediatas para proteger sus sitios web. Al seguir las recomendaciones mencionadas anteriormente y mantener sus plugins actualizados, pueden reducir significativamente el riesgo de ser víctimas de un ataque de Cross-Site Scripting.