El plugin WP Activity Log para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro user_id en todas las versiones hasta, e incluyendo, la 5.2.1 debido a una sanitización insuficiente de la entrada y a la falta de escape de la salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario administrativo acceda a la página inyectada.
Esta vulnerabilidad, identificada como CVE-2024-10793, representa un riesgo significativo para la seguridad de los sitios web que utilizan el plugin WP Activity Log. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como sea posible. Además, se recomienda a los administradores implementar medidas de seguridad adicionales, como el monitoreo regular de los registros de actividad del sitio en busca de comportamientos sospechosos.
Es crucial que los usuarios tomen medidas proactivas para proteger sus sitios web de posibles ataques de Cross-Site Scripting almacenado. Al mantenerse actualizados con las últimas versiones de los plugins y al implementar buenas prácticas de seguridad, los propietarios de sitios web pueden reducir significativamente el riesgo de explotación de estas vulnerabilidades.