El plugin Custom Field Template para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la columna del nombre del campo personalizado en todas las versiones hasta, e incluyendo, la 2.6.1 debido a una sanitización insuficiente de la entrada y escape de la salida en los campos personalizados suministrados por los usuarios. Esto permite que atacantes autenticados con permisos de nivel de contribuidor y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión del plugin, en este caso, Custom Field Template 2.6.2 o posterior, que corrige esta vulnerabilidad. Además, se recomienda a los usuarios no confiar en la entrada de datos no filtrada y realizar una validación adecuada en los campos personalizados para prevenir futuros ataques de Cross-Site Scripting.
Es crucial que los usuarios mantengan sus plugins de WordPress actualizados para protegerse contra vulnerabilidades conocidas, como en este caso, donde una actualización simple puede prevenir una amenaza de seguridad significativa.