El plugin Brizy – Page Builder para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenada a través de la carga de bloques del plugin en todas las versiones hasta, e incluyendo, la 2.4.40 debido a una insuficiente sanitización de entradas y escapado de salidas en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de nivel contribuidor y superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
La vulnerabilidad CVE-2024-1296 en el plugin Brizy – Page Builder <= 2.4.40 permite a atacantes autenticados con ciertos niveles de permisos inyectar código malicioso en las páginas generadas por el plugin. Para mitigar este riesgo, los usuarios deben actualizar el plugin a la última versión disponible que contenga un parche de seguridad. Además, se recomienda no otorgar permisos de contribuidor o superiores a usuarios no confiables y mantener un monitoreo constante de las actualizaciones de seguridad para garantizar la protección de su sitio web.
Es fundamental que los administradores de sitios web utilicen prácticas de seguridad proactivas, como mantener todos los plugins y temas actualizados, implementar medidas de seguridad adicionales como firewalls de aplicaciones web y realizar copias de seguridad periódicas. Al estar al tanto de las vulnerabilidades conocidas y tomar medidas preventivas, se puede reducir significativamente el riesgo de ataques exitosos.