El plugin SIP Reviews Shortcode para WooCommerce en WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘no_of_reviews’ en el shortcode woocommerce_reviews en todas las versiones hasta, e incluyendo, la 1.2.3 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad identificada como CVE-2024-6480 en el plugin SIP Reviews Shortcode para WooCommerce <= 1.2.3 representa una amenaza de seguridad para los usuarios de WordPress que confían en este plugin para mostrar reseñas de productos en sus tiendas en línea. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en la cual se hayan corregido estas vulnerabilidades. Además, se aconseja a los usuarios mantener todos los plugins y temas de WordPress actualizados regularmente, así como implementar prácticas de seguridad adicionales como la limitación de permisos de usuario para reducir la superficie de ataque.
Es fundamental para los administradores de sitios web de WooCommerce y usuarios de WordPress estar al tanto de las vulnerabilidades de seguridad en plugins y temas utilizados en sus sitios. La rápida actuación para parchear estas vulnerabilidades ayudará a mantener la seguridad de los sitios web y proteger la información sensible de sus usuarios.