La vulnerabilidad CVE-2024-13434 en el plugin WP Inventory Manager para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
La versión 2.3.2 y anteriores del plugin WP Inventory Manager son vulnerables a Reflected Cross-Site Scripting a través del parámetro ‘message’ debido a una insuficiente sanitización de entrada y escape de salida. Esto puede ser aprovechado por atacantes para realizar ataques XSS y poner en riesgo la seguridad del sitio web.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin WP Inventory Manager tan pronto como esté disponible. Además, se debe educar a los usuarios sobre los riesgos de hacer clic en enlaces sospechosos y se recomienda utilizar un firewall de aplicaciones web para añadir una capa adicional de protección.