La vulnerabilidad CVE-2024-3987 fue descubierta en el plugin WP Mobile Menu – The Mobile-Friendly Responsive Menu para WordPress. Esta vulnerabilidad de Cross-Site Scripting (XSS) permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en las páginas del sitio.
La vulnerabilidad radica en la falta de sanitización de la entrada de texto alternativo de imágenes y la falta de escapado de salida en el plugin WP Mobile Menu hasta la versión 2.8.4.2. Esto significa que los atacantes pueden realizar ataques XSS almacenados, lo que les permite ejecutar código malicioso en las páginas del sitio cuando un usuario las visualiza. Para mitigar esta vulnerabilidad, se recomienda actualizar a la última versión del plugin y evitar dar permisos de contribuidor o superior a usuarios no confiables.
Es crucial mantener todos los plugins de WordPress actualizados y restringir los permisos de los usuarios para reducir el riesgo de ataques de XSS. Al tomar estas medidas preventivas, los administradores de sitios web pueden protegerse contra posibles explotaciones de esta vulnerabilidad en WP Mobile Menu.