Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin myCred – Puntos de Fidelidad y Recompensas para WordPress y WooCommerce. Esta vulnerabilidad permite a atacantes autenticados con acceso de contribuidor y superior inyectar scripts web arbitrarios en páginas del sitio.
La vulnerabilidad de XSS almacenado ocurre en el shortcode mycred_link del plugin myCred en todas las versiones hasta la 2.7.4. Esto se debe a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Como resultado, los atacantes autenticados pueden insertar scripts maliciosos que se ejecutarán cuando un usuario acceda a la página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin myCred a la última versión disponible, en este caso, a partir de la versión 2.7.5. También es importante que los administradores de sitios web supervisen de cerca las actualizaciones de seguridad y realicen auditorías regulares en busca de posibles vulnerabilidades XSS y otras amenazas de seguridad.