El plugin Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting Reflejado (DOM-Based) a través de un parámetro ‘playground.wordpress.net’ en todas las versiones hasta, e incluyendo, la 2.7.4.2 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
La vulnerabilidad de Cross-Site Scripting (XSS) reflejado en Beaver Builder – WordPress Page Builder <= 2.7.4.2, identificada con el ID CVE-2024-1038, permite a los atacantes realizar ataques de script entre sitios que pueden comprometer la seguridad de los sitios web de WordPress. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, a la versión 2.7.4.3 o superior. Además, se aconseja a los usuarios ser cautelosos al hacer clic en enlaces o ejecutar acciones desconocidas en su sitio web para evitar la ejecución de scripts maliciosos.
Es fundamental que los administradores de sitios web que utilicen Beaver Builder – WordPress Page Builder actúen con prontitud para proteger sus sitios de posibles ataques de Cross-Site Scripting. Mantener el plugin actualizado y estar atento a las prácticas seguras de navegación en línea son medidas clave para garantizar la seguridad y protección de los sitios web en WordPress.