La vulnerabilidad CVE-2024-11380 en el plugin Mini Program API para WordPress permite a atacantes autenticados con acceso de contribuidor o superior insertar scripts maliciosos en páginas web, poniendo en riesgo la seguridad de los usuarios.
El plugin Mini Program API para WordPress es propenso a Cross-Site Scripting almacenado a través del shortcode ‘qvideo’ en todas las versiones hasta la 1.4.5 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
Es fundamental que los usuarios del plugin Mini Program API actualicen de inmediato a la última versión disponible, en este caso la 1.4.6, la cual corrige esta vulnerabilidad de Cross-Site Scripting. Además, se recomienda mantener todos los plugins y temas actualizados, así como implementar medidas de seguridad adicionales para protegerse de posibles ataques en WordPress.