El plugin Meta Box – Framework de campos personalizados de WordPress para WordPress es vulnerable a Cross-Site Scripting almacenado a través de valores de metadatos personalizados de publicaciones mostrados a través del shortcode del plugin en todas las versiones hasta, e incluyendo, 5.9.2 debido a una sanitización insuficiente de la entrada y escape insuficiente de la salida. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
El plugin Meta Box – Framework de campos personalizados de WordPress es muy popular y ampliamente utilizado en sitios web basados en WordPress. Sin embargo, la versión hasta la 5.9.2 es vulnerable a un ataque de Cross-Site Scripting almacenado, lo que puede permitir que atacantes con privilegios de contribuidor o superiores inyecten y ejecuten scripts maliciosos en páginas específicas del sitio web.
La vulnerabilidad se produce debido a la falta de sanitización adecuada de los valores de metadatos personalizados de las publicaciones y la falta de escape de la salida del plugin. Como resultado, los atacantes pueden insertar código JavaScript u otros scripts en los metadatos personalizados de las publicaciones, que se ejecutarán cuando se acceda a esas páginas inyectadas.
La explotación exitosa de esta vulnerabilidad podría permitir a los atacantes robar información confidencial de los usuarios, como credenciales de inicio de sesión o datos de sesión, redirigir a los usuarios a sitios web maliciosos, mostrar contenido falso o engañoso, o incluso tomar el control completo del sitio web afectado.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Meta Box – Framework de campos personalizados de WordPress a la última versión disponible. Además, es importante aplicar buenas prácticas de seguridad, como limitar el acceso y los privilegios de los usuarios, utilizar medidas adicionales de protección como firewalls de aplicaciones web y realizar auditorías regulares de seguridad para identificar y solucionar posibles vulnerabilidades en el sitio web.