El plugin de WordPress File Upload para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode del plugin en todas las versiones hasta, e incluyendo, 4.24.5 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel contribuidor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad identificada con el ID CVE CVE-2024-2847 afecta a la versión hasta 4.24.5 del plugin WordPress File Upload. Los usuarios pueden protegerse de esta vulnerabilidad manteniendo actualizado el plugin a la última versión disponible. Además, se recomienda a los administradores del sitio WordPress implementar medidas de seguridad adicionales, como limitar el acceso y los permisos de los usuarios, supervisar de cerca cualquier actividad sospechosa en el sitio y realizar una auditoría de seguridad regularmente.
Es crucial para los usuarios de WordPress mantenerse al día con las actualizaciones de seguridad y tomar medidas proactivas para proteger sus sitios contra vulnerabilidades conocidas como la mencionada anteriormente en el plugin WordPress File Upload. La seguridad en línea es un esfuerzo continuo y es responsabilidad de los administradores de sitios web garantizar la protección de la información de sus usuarios y la integridad de sus sitios.