La vulnerabilidad CVE-2024-2165, también conocida como XSS almacenado, afecta al plugin SEOPress – On-site SEO para WordPress en versiones hasta la 7.5.2.1. Esta vulnerabilidad se debe a una validación inadecuada de la entrada de datos, lo que permite a atacantes autenticados inyectar scripts web arbitrarios en páginas del sitio web.
La descripción detallada de esta vulnerabilidad es que los atacantes autenticados con acceso de autor o superior pueden utilizar el parámetro de imagen alt para inyectar scripts maliciosos que se ejecutarán cada vez que un usuario acceda a la página comprometida. Esto podría conducir a ataques de phishing, robo de información confidencial o control total sobre el sitio web. Para mitigar este riesgo, se recomienda a los usuarios de SEOPress actualizar a la última versión disponible lo antes posible y revisar regularmente los permisos de los usuarios en su sitio web para limitar el acceso innecesario.
La importancia de mantener actualizados los plugins y temas de WordPress radica en la protección de su sitio web contra vulnerabilidades conocidas como CVE-2024-2165. Al tomar medidas proactivas para garantizar una adecuada validación de la entrada de datos y la escape de la salida, los usuarios pueden reducir significativamente el riesgo de sufrir ataques de XSS almacenado.