El plugin Control horas para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘ch_registro’ del plugin en todas las versiones hasta, e incluyendo, la 1.0.1 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Control horas a la última versión disponible, en este caso superior a la 1.0.1. Además, se debe educar a los usuarios sobre las buenas prácticas de seguridad, como evitar hacer clic en enlaces sospechosos y mantener siempre sus credenciales de acceso seguras.
Es crucial mantener siempre actualizados todos los plugins de WordPress y seguir las recomendaciones de seguridad para prevenir problemas de vulnerabilidades como el Cross-Site Scripting Almacenado en el plugin Control horas.