El plugin 3DVieweronline para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘3Dvo-model’ del plugin en todas las versiones hasta, e incluyendo, la 2.2.2 debido a una insuficiente sanitización de la entrada y escape de salida en atributos proporcionados por usuarios. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin 3DVieweronline a la versión 2.2.3 o superior, que corrige este problema de seguridad. Además, se recomienda a los administradores de sitios web WordPress educar a los contribuidores y usuarios con roles superiores sobre las prácticas seguras de inserción de contenido para evitar la ejecución de scripts maliciosos.
Es crucial mantener actualizados todos los plugins y temas de WordPress para protegerse contra vulnerabilidades conocidas. Además, es importante enfatizar la importancia de la conciencia de seguridad entre los usuarios con acceso al sitio para prevenir ataques de Cross-Site Scripting y otras amenazas potenciales.