La vulnerabilidad CVE-2024-8987 afecta al plugin Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress en versiones anteriores a la 1.3.0. Esta vulnerabilidad permite a atacantes autenticados con acceso de contribuidor o superior, inyectar scripts web arbitrarios que se ejecutarán cuando un usuario acceda a una página infectada.
La falta de saneamiento de entrada y escape de salida en los atributos suministrados por los usuarios a través del shortcode youzify_media, permite a un atacante almacenar código malicioso en la base de datos del sitio web, el cual será ejecutado en el navegador de los visitantes cuando visiten la página comprometida. Esto puede llevar a ataques de phishing, robo de cookies de autenticación, redirección a páginas maliciosas, entre otros riesgos de seguridad.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Youzify – BuddyPress a la última versión disponible, en este caso la 1.3.1, la cual soluciona este fallo de seguridad. Además, se aconseja a los administradores web llevar a cabo una revisión exhaustiva de la seguridad de sus plugins instalados, para prevenir posibles brechas de seguridad en sus sitios web.