La vulnerabilidad CVE-2024-1278 permite a atacantes autenticados con permisos de nivel colaborador o superior inyectar scripts web maliciosos en páginas de WordPress utilizando el shortcode ‘efb_likebox’ del plugin Easy Social Feed. Esto puede resultar en la ejecución de scripts arbitrarios cuando un usuario accede a la página comprometida.
La falta de sanitización de entrada y escape de salida en los atributos proporcionados por los usuarios del plugin Easy Social Feed hasta la versión 6.5.4, hace posible la ejecución de Cross-Site Scripting almacenado. Esto significa que un atacante puede aprovechar esta vulnerabilidad para inyectar código malicioso en las páginas del sitio web afectado. Para protegerse de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible y ser cautos al permitir a colaboradores y otros roles crear contenido con el shortcode afectado.
Es fundamental mantener los plugins de WordPress actualizados y verificar regularmente si hay vulnerabilidades conocidas. Además, se debe limitar el acceso a roles con privilegios de contribuidor y superiores para reducir el riesgo de ataques de Cross-Site Scripting en el sitio web.