El plugin de OpenStreetMap para WordPress, OSM, es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes osm_map y osm_map_v3 en todas las versiones hasta la 6.1.0. Esta vulnerabilidad se debe a una insuficiente sanitización de la entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin OSM a la última versión disponible que contenga una solución para esta vulnerabilidad. Además, se aconseja a los administradores del sitio web restringir el acceso a los roles de contribuidor y superiores a usuarios de confianza para reducir el riesgo de explotación. También es importante recordar a los usuarios la importancia de no confiar ciegamente en la información ingresada por otros usuarios, especialmente cuando se trata de shortcodes y contenido dinámico.
Es crucial estar al tanto de las posibles vulnerabilidades en plugins y temas de WordPress, así como de las medidas necesarias para protegerse de posibles ataques. Mantener todos los componentes de WordPress actualizados y seguir buenas prácticas de seguridad en la gestión de usuarios y contenidos es fundamental para reducir el riesgo de compromiso de seguridad.