El plugin Envo Extra para WordPress es vulnerable a XSS de almacenamiento a través del parámetro ‘button_css_id’ dentro del widget de Botón en todas las versiones hasta, e incluyendo, 1.8.23 debido a una sanitización insuficiente de la entrada y un escape insuficiente de la salida.
Esto permite que atacantes autenticados, con acceso de nivel Contribuidor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Es importante que los usuarios actualicen su versión de Envo Extra a la última disponible (1.8.24 o superior) para mitigar este riesgo de seguridad. Además, se recomienda mantener un monitoreo constante de las actualizaciones de seguridad para proteger su sitio WordPress de posibles vulnerabilidades.