La vulnerabilidad de Cross-Site Scripting Almacenado en el plugin Category and Taxonomy Meta Fields para WordPress permite a atacantes autenticados con permisos de editor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página.
El plugin Category and Taxonomy Meta Fields para WordPress es vulnerable a Cross-Site Scripting almacenado a través del valor del campo meta de imagen en la función ‘wpaft_add_meta_textinput’ en versiones hasta, e incluyendo, la 1.0.0 debido a una insuficiente sanitización de entradas y escapado de salida en atributos suministrados por usuarios. Esto hace posible que atacantes autenticados con permisos de editor o superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-site e instalaciones donde se haya deshabilitado unfiltered_html.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Category and Taxonomy Meta Fields a la última versión disponible. Además, se aconseja a los editores y administradores de sitios web realizar una revisión periódica de los plugins instalados en WordPress para detectar posibles vulnerabilidades y mantener la seguridad de sus sitios web.