El plugin Surbma | SalesAutopilot Shortcode para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘sa-form’ en todas las versiones hasta, e incluyendo, la 2.0 debido a una insuficiente sanitización de la entrada y escape de salida en los atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel contribuyente y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán siempre que un usuario acceda a una página inyectada. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible y mantener todos los plugins de WordPress actualizados regularmente. Además, se aconseja a los administradores del sitio que limiten el acceso de los usuarios a roles con la menor cantidad de privilegios necesarios para realizar sus tareas.
Es crucial que los usuarios de WordPress sean conscientes de las vulnerabilidades de seguridad en plugins populares y tomen medidas proactivas para proteger sus sitios web. Mantenerse al tanto de las actualizaciones de seguridad y seguir las mejores prácticas de seguridad es fundamental para prevenir ataques maliciosos.