La vulnerabilidad CVE-2024-12814 en el plugin Loan Comparison para WordPress permite la ejecución de scripts maliciosos en páginas web debido a una incorrecta neutralización de la entrada de datos durante la generación de la página.
El plugin Loan Comparison para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘loancomparison’ en todas las versiones hasta, e incluyendo, la 2.0 debido a una insuficiente sanitización de la entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso a nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Loan Comparison a la última versión disponible que haya parcheado esta vulnerabilidad. Además, se debe fomentar buenas prácticas de seguridad, como utilizar plugins de fuentes confiables y mantener un monitoreo constante de posibles vulnerabilidades en los plugins instalados.