El plugin Supreme Modules Lite – Divi Theme, Extra Theme y Divi Builder para WordPress es vulnerable a Cross-Site Scripting basado en DOM a través del parámetro ‘typing_cursor’ en versiones hasta, e incluyendo, la 2.5.3 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con permisos de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión del plugin tan pronto como sea posible. Además, se recomienda a los administradores del sitio restringir los permisos de los usuarios autenticados para reducir el riesgo de explotación de la vulnerabilidad. Otra medida preventiva es implementar un firewall de aplicaciones web (WAF) para detectar y bloquear posibles ataques de XSS en tiempo real.
La importancia de mantener todos los plugins y temas de WordPress actualizados resalta una vez más con esta vulnerabilidad en Supreme Modules Lite. Al tomar medidas proactivas para proteger los sitios web, los usuarios pueden reducir significativamente el riesgo de ser comprometidos por ataques de Cross-Site Scripting.