El plugin MStore API – Create Native Android & iOS Apps On The Cloud para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado que puede ser explotada por atacantes autenticados para cargar archivos HTML con scripts web maliciosos.
La vulnerabilidad CVE-2024-12042, titulada ‘Unrestricted Upload of File with Dangerous Type’, afecta a todas las versiones del plugin hasta la 4.16.4. El problema radica en la falta de validación adecuada de tipos de archivo, lo que permite a atacantes autenticados con acceso de nivel suscriptor o superior cargar archivos HTML con scripts arbitrarios que se ejecutarán cuando un usuario acceda al archivo.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin MStore API a la última versión disponible de forma inmediata y restringir el acceso a la funcionalidad de carga de imágenes solo a roles de usuario de confianza. Además, es importante mantener un monitoreo constante de la actividad del sitio para detectar cualquier comportamiento sospechoso relacionado con la carga de archivos.