La vulnerabilidad CVE-2024-1051 afecta al plugin List category posts para WordPress, permitiendo a atacantes autenticados con permisos de contributor o superiores inyectar scripts web maliciosos en las páginas del sitio.
El plugin List category posts para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘catlist’ del plugin en todas las versiones hasta la 0.89.6 debido a una insuficiente sanitización de la entrada y escape de la salida en atributos proporcionados por el usuario como ‘title_tag’. Esto permite que atacantes autenticados con permisos de contributor o superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin List category posts a la última versión disponible y mantener todos los plugins y temas de WordPress actualizados regularmente para evitar posibles ataques de Cross-Site Scripting almacenado.