El plugin WP Recipe Maker para WordPress es vulnerable a Scripting Cruzado entre Sitios Almacenado a través del parámetro de Incrustación de Videos en todas las versiones hasta, e incluyendo, la 9.2.1 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso al panel de recetas (que por defecto es solo para administradores pero puede asignarse a capacidades arbitrarias), inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad identificada con el ID CVE CVE-2024-1571, también conocida como Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS), pone en riesgo la seguridad de los sitios web que utilicen WP Recipe Maker. Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión del plugin de inmediato para proteger sus sitios. Además, se recomienda restringir el acceso al panel de recetas a solo aquellos usuarios confiables y asegurarse de que todos los usuarios tengan contraseñas sólidas y únicas para evitar la suplantación de identidad.
Es fundamental que los usuarios de WP Recipe Maker tomen medidas para proteger sus sitios web de esta vulnerabilidad. Mantener todos los plugins y temas actualizados, restringir el acceso a funciones administrativas solo a usuarios confiables y educar a los colaboradores sobre las mejores prácticas de seguridad son pasos clave para salvaguardar la integridad de un sitio web de WordPress.