La vulnerabilidad CVE-2024-1997 en el plugin Premium Addons PRO para WordPress permite a atacantes autenticados con nivel de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a esa página.
La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Premium Addons PRO hasta la versión 2.9.12 se debe a una insuficiente sanitización de entradas y escapado de salidas en el parámetro ‘premium_fbchat_app_id’ del Widget del Chat de Messenger. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible. Además, se sugiere implementar medidas adicionales de seguridad, como la restricción de los niveles de acceso de los usuarios para reducir la posibilidad de explotación de la vulnerabilidad.
Es fundamental para la seguridad de un sitio web mantener todos los plugins y temas actualizados, así como implementar buenas prácticas de seguridad, como limitar los permisos de los usuarios y realizar auditorías periódicas de seguridad para identificar posibles vulnerabilidades.