La vulnerabilidad CVE-2024-5265 en el plugin WPBakery Visual Composer para WordPress permite a atacantes autenticados, con acceso de nivel contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página comprometida.
El plugin WPBakery Visual Composer hasta la versión 7.6 es vulnerable a Cross-Site Scripting almacenado a través del atributo de enlace dentro del shortcode vc_single_image debido a una sanitización insuficiente de la entrada y escapado de la salida en los atributos proporcionados por el usuario. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible y restringir el acceso de contribuidor y roles superiores solo a usuarios de confianza.
Es fundamental que los sitios web de WordPress que utilicen WPBakery Visual Composer como constructor de páginas se mantengan actualizados para protegerse contra esta vulnerabilidad de Cross-Site Scripting. La seguridad en capas, que incluya actualizaciones periódicas y políticas de acceso restrictivas, ayudará a reducir el riesgo de explotación.