La vulnerabilidad CVE-2024-3730 descubierta en el plugin Simple Membership para WordPress permite a atacantes autenticados con permisos de contribuidor o superiores realizar ataques de Cross-Site Scripting almacenado a través del shortcode ‘swpm_paypal_subscription_cancel_link’.
La falta de saneamiento de entrada y escape de salida en los atributos proporcionados por los usuarios en la versión 4.4.3 y anteriores de Simple Membership, facilita a los atacantes autenticados la inserción de scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página comprometida.
Es vital que los usuarios de Simple Membership actualicen a la última versión del plugin de inmediato para mitigar el riesgo de explotación de esta vulnerabilidad. Asimismo, se recomienda mantener actualizados todos los plugins y temas de WordPress, así como implementar medidas de seguridad adicionales como firewalls de aplicaciones web para protegerse contra posibles ataques de XSS.