La vulnerabilidad CVE-2024-9776 en el plugin ImagePress – Image Gallery para WordPress permite a atacantes autenticados con permisos de administrador o superiores inyectar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda a esa página.
La versión 1.2.2 y anteriores del plugin ImagePress son vulnerables a un tipo de ataque de Cross-Site Scripting (XSS) almacenado debido a una insuficiente sanitización de entrada y escapado de salida. Esto significa que los atacantes podrían aprovechar esta vulnerabilidad para insertar código malicioso en la configuración de administración del plugin y así ejecutar scripts en las páginas de WordPress. Es importante destacar que esta vulnerabilidad solo afecta a instalaciones multi-sitio y instalaciones donde se ha deshabilitado unfiltered_html.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin ImagePress – Image Gallery tan pronto como sea posible. Además, es importante mantener todas las extensiones y temas de WordPress actualizados, así como seguir las mejores prácticas de seguridad, como no otorgar permisos de administrador a menos que sea estrictamente necesario y mantener copias de seguridad regulares de los sitios web.