El plugin YARPP – Yet Another Related Posts Plugin para WordPress es vulnerable a Cross-Site Scripting Stored a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 5.30.9 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con permisos de nivel administrador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones de varios sitios e instalaciones donde se ha deshabilitado unfiltered_html.
La vulnerabilidad identificada como CVE-2024-0602 es una forma de Cross-Site Scripting (XSS) almacenado, donde el atacante puede insertar código malicioso en los ajustes del administrador y lograr que este se ejecute en el navegador de los usuarios en páginas web específicas. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin YARPP a la versión más reciente disponible, ya que los desarrolladores han lanzado parches de seguridad para corregir esta vulnerabilidad. Además, se aconseja a los administradores restringir los permisos de los usuarios con acceso al plugin YARPP y monitorear de cerca cualquier actividad sospechosa relacionada con la configuración del plugin.
Es fundamental que los propietarios de sitios web que utilicen el plugin YARPP sean conscientes de esta vulnerabilidad y tomen medidas inmediatas para proteger sus sitios. Mantener todos los plugins y temas actualizados, junto con la aplicación de buenas prácticas de seguridad, son formas efectivas de reducir el riesgo de exposición a vulnerabilidades conocidas en WordPress.