La vulnerabilidad CVE-2024-6305 en WordPress Core permite a atacantes autenticados con permisos de nivel contribuidor y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página.
WordPress Core es vulnerable a Cross-Site Scripting almacenado a través del Bloque de Parte de Plantilla en varias versiones hasta la 6.5.5 debido a una insuficiente sanitización de entradas y escapado de salidas en los atributos ‘tagName’. Para mitigar este problema, los usuarios afectados deben actualizar su instalación de WordPress a la última versión disponible, en este caso la versión 6.5.5. Además, se recomienda a los usuarios practicar buenas prácticas de seguridad como revisar y validar toda la entrada de usuario antes de mostrarla en el sitio web, así como limitar los permisos de contribuidor y supervisar de cerca las actividades de los usuarios con esos roles.
Es fundamental que los usuarios de WordPress estén al tanto de las vulnerabilidades de seguridad en su instancia y tomen medidas proactivas para proteger su sitio web contra posibles ataques. Mantenerse actualizado con las últimas versiones de WordPress y practicar una sólida higiene de seguridad son pasos clave para garantizar la integridad y la protección de su sitio.