El plugin Combo Blocks para WordPress hasta la versión 2.2.80 es vulnerable a un Cross-Site Scripting (XSS) almacenado, lo que puede permitir a atacantes autenticados inyectar scripts maliciosos en páginas del sitio.
La vulnerabilidad CVE-2024-3155 se debe a la insuficiente sanitización de entradas y escape de salidas en varios parámetros del plugin Post Grid, Form Maker, Popup Maker, WooCommerce Blocks, Post Blocks, Post Carousel – Combo Blocks. Esto permite a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Combo Blocks a una versión posterior a la 2.2.80 tan pronto como sea posible. Además, se debe instar a los desarrolladores a implementar una correcta sanitización de entradas y escape de salidas en sus plugins para proteger sus sitios de este tipo de ataques.