El plugin ND Shortcodes para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la función de carga del plugin en todas las versiones hasta, e incluyendo, la 7.5 debido a una sanitización de entrada insuficiente y falta de escapado de salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-5220 proviene de la falta de correcta neutralización de etiquetas HTML relacionadas con scripts en la página web, lo que facilita a un atacante autenticado la inyección de código malicioso en las páginas creadas con el plugin ND Shortcodes. Para remediar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible y evitar utilizar funciones de carga de archivos con contenido no confiable. Asimismo, se debe restringir el acceso de los roles de usuario Autor y superior para reducir el riesgo de explotación de esta vulnerabilidad.
Es fundamental que los usuarios de ND Shortcodes estén al tanto de esta vulnerabilidad de XSS almacenado y tomen medidas proactivas para proteger sus sitios web. Al mantener el plugin actualizado y limitar el acceso de los roles de usuario, se puede reducir significativamente la probabilidad de ser víctima de un ataque de este tipo.