En este reporte se detalla una vulnerabilidad de Cross-Site Scripting almacenado en el plugin CMSMasters Content Composer para WordPress. Esta vulnerabilidad afecta a todas las versiones hasta la 1.8.8 y permite a atacantes autenticados con acceso de contribuidor y superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página.
La vulnerabilidad identificada con el CVE ID CVE-2024-7963 se debe a una incorrecta neutralización de la entrada durante la generación de páginas web, lo que posibilita la inyección de código malicioso. Los atacantes pueden aprovechar esta vulnerabilidad a través de los múltiples shortcodes del plugin, debido a la falta de saneamiento de la entrada y escape de la salida en los atributos suministrados por el usuario. Esto permite la ejecución de scripts web no autorizados en las páginas afectadas, comprometiendo la seguridad de los sitios web que utilizan este plugin.
Es fundamental que los usuarios actualicen el plugin CMSMasters Content Composer a la versión 1.8.9 o superior para proteger sus sitios web de esta vulnerabilidad de XSS almacenado. Además, se recomienda implementar buenas prácticas de seguridad, como limitar el acceso de los usuarios a roles con privilegios mínimos y mantener un monitoreo constante de la actividad en el sitio para detectar posibles intentos de explotación.