La vulnerabilidad CVE-2024-0656 en el plugin Password Protected – Ultimate Plugin permite a atacantes autenticados (con nivel de administrador) realizar ataques de Cross-Site Scripting almacenado en páginas protegidas con contraseña en WordPress.
El plugin Password Protected – Ultimate Plugin para proteger el contenido de WordPress es vulnerable a Cross-Site Scripting almacenado a través de la Google Captcha Site Key en todas las versiones hasta, e incluyendo, la 2.6.6 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite que atacantes autenticados, con acceso a nivel de administrador, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada. Esto solo afecta a instalaciones de multisitio y a instalaciones donde se haya deshabilitado unfiltered_html.
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Password Protected – Ultimate Plugin a la última versión disponible que corrija este problema. Además, se debe monitorear de cerca cualquier actividad sospechosa en el sitio y limitar los privilegios de usuario para reducir el riesgo de que un atacante pueda aprovechar esta vulnerabilidad.