La extensión de WordPress Scratch & Win – Giveaways and Contests, la cual se utiliza para aumentar suscriptores, tráfico, referencias y ventas, es vulnerable a un tipo de ataque conocido como Cross-Site Scripting almacenado. Esta vulnerabilidad permite a atacantes autenticados con acceso de nivel contribuidor o superior inyectar scripts web maliciosos en las páginas del sitio.
La vulnerabilidad CVE-2024-11898 afecta a la versión 2.6.9 y anteriores del plugin Scratch & Win – Giveaways and Contests. Esto se debe a una insuficiente sanitización de entrada y escapado de salida en los atributos suministrados por los usuarios. Los atacantes autenticados pueden aprovechar esta vulnerabilidad para insertar scripts web arbitrarios en las páginas y ejecutarlos cuando un usuario accede a dichas páginas.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Scratch & Win – Giveaways and Contests a la última versión disponible. Además, se debe monitorear regularmente las actualizaciones de seguridad para evitar posibles brechas de seguridad en WordPress.