La vulnerabilidad CVE-2024-2477 en el plugin wpDiscuz para WordPress permite a atacantes con acceso de autor o superior inyectar scripts web arbitrarios en páginas, comprometiendo la seguridad del sitio.
La vulnerabilidad de Cross-Site Scripting en wpDiscuz <= 7.6.15 se debe a una insuficiente sanitización de la entrada y escape de la salida en el campo 'Texto Alternativo' de una imagen subida. Esto permite a atacantes autenticados con nivel de autor o superior inyectar scripts web arbitrarios en páginas, los cuales se ejecutarán cuando un usuario acceda a la página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin wpDiscuz a la última versión disponible y mantener un monitoreo constante de las actualizaciones de seguridad para proteger sus sitios de posibles ataques de Cross-Site Scripting.