El plugin WP-Eggdrop para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 0.1 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones de múltiples sitios e instalaciones donde unfiltered_html ha sido deshabilitado.
La vulnerabilidad CVE-2024-2968 en el plugin WP-Eggdrop permite a atacantes autenticados con privilegios de administrador y superiores aprovechar la falta de sanidad y escape de entrada para inyectar scripts maliciosos en páginas web. Como solución, se recomienda actualizar a la última versión del plugin tan pronto como esté disponible. Adicionalmente, se recomienda a los usuarios restringir los permisos de administrador y evitar dar acceso a usuarios no confiables.
Es crucial tomar medidas proactivas para protegerse contra vulnerabilidades como la encontrada en el plugin WP-Eggdrop. Mantener el software actualizado y limitar los privilegios de los usuarios puede ayudar a prevenir ataques de Cross-Site Scripting almacenado en WordPress.