La vulnerabilidad CVE-2024-2459 afecta al plugin UX Flat para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior ejecutar scripts maliciosos en páginas web.
El plugin UX Flat para WordPress es vulnerable a XSS almacenado a través del shortcode ‘button’ en todas las versiones hasta la 4.1 debido a una sanitización insuficiente de la entrada y a la falta de escape en la salida de atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible y evitar otorgar permisos de contribuidor o superiores a usuarios no confiables. Además, se debe revisar regularmente las páginas y códigos cortos en busca de contenido malicioso.