El plugin Page Builder by SiteOrigin para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘siteorigin_widget’ en todas las versiones hasta, e incluyendo, la 2.29.15 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del plugin de Page Builder by SiteOrigin, en este caso a la versión 2.29.16 o superior. Además, se insta a los administradores del sitio a ser cautelosos al otorgar privilegios de contribuidor y superiores, y a realizar revisiones periódicas de las páginas creadas con el plugin para detectar posibles scripts maliciosos.
Es fundamental mantener actualizados todos los plugins y themes de WordPress, así como implementar buenas prácticas de seguridad, como limitar los privilegios de los usuarios y revisar regularmente el contenido generado por los usuarios para mitigar el riesgo de vulnerabilidades de seguridad como la observada en Page Builder by SiteOrigin.