El plugin WP Mailster para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘mst_subscribe’ en todas las versiones hasta, e incluyendo, la 1.8.17.0 debido a una sanitización insuficiente de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente el plugin WP Mailster a la última versión disponible que resuelva este problema de seguridad. Además, se recomienda a los administradores del sitio implementar medidas adicionales de seguridad, como limitar el acceso de los usuarios a roles con privilegios mínimos y realizar auditorías de seguridad periódicas en busca de posibles vulnerabilidades.
Es fundamental abordar de manera proactiva las vulnerabilidades de seguridad en plugins de WordPress para proteger la integridad y la privacidad de los datos de los usuarios. Los desarrolladores de plugins deben priorizar la sanitización adecuada de la entrada y el escape de la salida para prevenir ataques de Cross-Site Scripting y otras amenazas potenciales.