La vulnerabilidad CVE-2024-10882 en el plugin Product Delivery Date for WooCommerce – Lite permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas de WordPress.
El plugin Product Delivery Date for WooCommerce – Lite hasta la versión 2.8.0 es vulnerable a Reflected Cross-Site Scripting debido al uso de add_query_arg y remove_query_arg sin escapar adecuadamente la URL. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
Para subsanar esta vulnerabilidad, se recomienda actualizar el plugin a la última versión disponible lo antes posible. Adicionalmente, se aconseja a los usuarios ser cautelosos al hacer clic en enlaces desconocidos para evitar posibles ataques de XSS.