La vulnerabilidad CVE-2024-10374 en el plugin WP-Members Membership Plugin para WordPress permite a atacantes autenticados con nivel de contribuidor y superior inyectar scripts web arbitrarios en las páginas del sitio.
La versión 3.4.9.5 y anteriores del plugin WP-Members Membership Plugin para WordPress son vulnerables a Cross-Site Scripting almacenado a través del shortcode wpmem_loginout debido a la falta de sanitización de entradas y escapado de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados con nivel de contribuidor y superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a esa página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin WP-Members a la última versión disponible y llevar a cabo una revisión exhaustiva de la seguridad en su sitio WordPress para detectar posibles inyecciones de scripts maliciosos.