El plugin Community by PeepSo – Social Network, Membership, Registration, User Profiles para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘content’ en todas las versiones hasta, e incluyendo, 6.4.5.0 debido a una insuficiente sanitización de entrada y escape de salida.
Esto permite a atacantes autenticados, con acceso de nivel administrador, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones de múltiples sitios y a las instalaciones donde se ha deshabilitado unfiltered_html.
Es fundamental que los usuarios de Community by PeepSo actualicen a la última versión disponible para mitigar este riesgo de seguridad. Además, se recomienda revisar la configuración de permisos de los usuarios para garantizar que solo aquellos autorizados tengan acceso a funciones administrativas.