La vulnerabilidad CVE-2024-1510 afecta al plugin WP Shortcodes Plugin — Shortcodes Ultimate para WordPress, permitiendo a atacantes autenticados con permisos de contributor o superiores, inyectar scripts maliciosos en páginas web.
La vulnerabilidad de Cross-Site Scripting se produce debido a una sanitización insuficiente de la entrada de usuario y el escape de salida en los atributos suministrados por el usuario y las etiquetas suministradas por el usuario en el shortcode su_tooltip del plugin. Esto puede permitir a un atacante autenticado inyectar scripts web arbitrarios en páginas que se ejecutarán siempre que un usuario acceda a la página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la versión más reciente disponible y mantener todos los plugins y temas actualizados. Además, se aconseja a los administradores del sitio web que limiten los permisos de los usuarios a roles con acceso restringido para reducir el riesgo de explotación de vulnerabilidades.