El plugin Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates para WordPress presenta una vulnerabilidad de Cross-Site Scripting (XSS) almacenado a través del bloque ‘Social Icons’ en todas las versiones hasta la 4.5.9. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso de contributor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida.
La vulnerabilidad CVE-2024-3818 en el plugin Essential Blocks se debe a la falta de sanitización de la entrada de usuario y el escape de la salida en atributos suministrados por el usuario. Esto permite a un atacante realizar un ataque de XSS almacenado al manipular los atributos del bloque ‘Social Icons’. Para evitar la explotación de esta vulnerabilidad, es recomendable actualizar el plugin a la última versión disponible, en este caso la 4.6.0. Además, se aconseja a los usuarios restringir los privilegios de los roles de usuario en WordPress para limitar el acceso a funciones sensibles.
Es crucial mantener actualizados los plugins de WordPress y seguir buenas prácticas de seguridad, como limitar los privilegios de los usuarios, para mitigar el riesgo de explotación de vulnerabilidades como la identificada en Essential Blocks. La prevención y la rápida respuesta a las alertas de seguridad son fundamentales para garantizar la integridad y la seguridad de un sitio web en WordPress.