La vulnerabilidad CVE-2024-31111 en WordPress Core permite a atacantes autenticados con nivel de acceso de colaborador o superior realizar ataques de Cross-Site Scripting almacenado a través del Bloque de Partes de Plantilla.
WordPress Core es vulnerable a Cross-Site Scripting almacenado a través del Bloque de Partes de Plantilla en varias versiones hasta 6.5.5 debido a una insuficiente sanitización de la entrada y escape de la salida en los atributos ‘tagName’. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios de WordPress que actualicen a la última versión disponible, en este caso la versión 6.5.5 o superior. Además, se aconseja tener precaución al otorgar niveles de acceso elevados a los colaboradores y revisar regularmente el código personalizado o los plugins en busca de vulnerabilidades de seguridad.