En este post se abordará una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Ultimate Addons for WPBakery Page Builder, que podría ser aprovechada por usuarios autenticados con el rol Contributor o superior para ejecutar scripts maliciosos en sitios WordPress vulnerables.
CVE-2024-5254 es el identificador asignado a esta vulnerabilidad, que permite a un atacante almacenar y ejecutar scripts maliciosos en sitios web afectados a través de un shortcode proporcionado por el plugin Ultimate Addons for WPBakery Page Builder. Para mitigar esta vulnerabilidad, se recomienda mantener el plugin actualizado a la última versión disponible, así como limitar los roles de usuario con acceso para reducir el riesgo de explotación.
Es fundamental estar al tanto de las vulnerabilidades en plugins y temas de WordPress, y tomar medidas proactivas para proteger los sitios web. Actualizar regularmente los plugins, limitar los privilegios de los usuarios y utilizar firewalls de aplicaciones web son algunas medidas que los usuarios pueden implementar para reducir el riesgo de ataques XSS y proteger la seguridad de sus sitios WordPress.