La vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Photo Gallery by 10Web para WordPress, versión 1.8.30 y anteriores, permite a atacantes autenticados inyectar scripts web maliciosos que se ejecutarán cuando un usuario acceda a una página comprometida.
La falta de desinfección de la entrada y escape de la salida de datos en la configuración de administrador de este plugin hace posible esta vulnerabilidad. Los atacantes autenticados con permisos de administrador y superiores pueden aprovechar esta vulnerabilidad para comprometer sitios web, especialmente en instalaciones de múltiples sitios y donde se haya deshabilitado unfiltered_html. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible y vigilar cualquier actividad sospechosa en sus sitios.
Es crucial que los administradores de sitios WordPress se mantengan al día con las actualizaciones de plugins y temas, así como monitorear de cerca cualquier actividad inusual en sus sitios para protegerse contra vulnerabilidades como el Cross-Site Scripting (XSS) almacenado.