El plugin de WordPress Contact Form, Encuestas y Constructor de Formularios – MightyForms es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘mightyforms’ en todas las versiones hasta, e incluyendo, la 1.3.9 debido a una insuficiente sanitización de entrada y escapado de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, los usuarios deben actualizar el plugin a la última versión disponible, en este caso, a la versión 1.4.0 o posterior. Además, se recomienda a los administradores de sitios web WordPress educar a los usuarios sobre los riesgos de la inyección de scripts y la importancia de mantener los plugins actualizados.
Es fundamental mantener los plugins y temas de WordPress actualizados para protegerse de vulnerabilidades conocidas como la Cross-Site Scripting Almacenado. Al tomar medidas proactivas para garantizar la seguridad de su sitio web, los propietarios y administradores pueden reducir significativamente el riesgo de compromiso de datos y de seguridad en general.