Se ha descubierto una vulnerabilidad en el plugin Cognito Forms para WordPress que permite a atacantes autenticados con nivel de acceso de ‘Contribuidor’ o superior, inyectar scripts web arbitrarios en páginas específicas.
La vulnerabilidad viene dada por la insuficiente sanitización de la entrada y escape de la salida del parámetro ‘id’ en todas las versiones hasta la 2.0.6 del plugin Cognito Forms. Esto permite a los atacantes almacenar y ejecutar scripts maliciosos en las páginas afectadas, comprometiendo la seguridad de los usuarios que accedan a ellas.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Cognito Forms tan pronto como sea posible. Además, se aconseja seguir buenas prácticas de seguridad, como limitar el acceso de los usuarios a funciones innecesarias y mantener un monitoreo constante de actividades sospechosas en el sitio web.