El plugin WP Chat App para WordPress es vulnerable a XSS almacenado a través del atributo ‘imageAlt’ en todas las versiones hasta, e incluyendo, la 3.6.2 debido a una validación de entrada insuficiente y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad identificada con el ID CVE-2024-2513 en el plugin WP Chat App permite a los atacantes autenticados, con un nivel de acceso de contribuidor o superior, insertar código malicioso en páginas del sitio web. Para mitigar este riesgo, los usuarios deben asegurarse de mantener el plugin actualizado a la última versión disponible. Además, se recomienda limitar los privilegios de los usuarios autenticados en el sitio web, evitando otorgar accesos de contribuidor o superior a usuarios no confiables. También es importante validar y sanitizar adecuadamente cualquier entrada de datos proporcionada por los usuarios antes de ser procesada y mostrada en el sitio.
Es crucial que los administradores de sitios web que utilicen el plugin WP Chat App estén al tanto de esta vulnerabilidad y tomen medidas proactivas para proteger sus sitios. Al seguir buenas prácticas de seguridad, como mantener el software actualizado y controlar los privilegios de los usuarios, se puede reducir significativamente el riesgo de explotación de esta vulnerabilidad.