La vulnerabilidad CVE-2024-7388 en el plugin WP Bannerize Pro para WordPress permite a atacantes autenticados con permisos de editor o superiores, inyectar scripts web maliciosos en las páginas del sitio, poniendo en riesgo la seguridad de los usuarios.
El plugin WP Bannerize Pro hasta la versión 1.9.0 es vulnerable a Cross-Site Scripting almacenado debido a una insuficiente sanitización de entrada y escaping de salida en los datos de los banners. Esto permite a atacantes inyectar scripts maliciosos que se ejecutarán cuando un usuario acceda a una página comprometida. Esta vulnerabilidad afecta únicamente a instalaciones multi-sitio y a instalaciones donde se ha deshabilitado unfiltered_html.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin WP Bannerize Pro a la última versión disponible. Además, se sugiere restringir los permisos de los usuarios en WordPress y habilitar la verificación de entrada adecuada para prevenir futuros ataques de Cross-Site Scripting.