El plugin de IDer Login para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘ider_login_button’ en todas las versiones hasta, e incluyendo, la 2.1 debido a una sanitización insuficiente de la entrada y escape del contenido en los atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada. Para subsanar este problema, se recomienda actualizar el plugin IDer Login a la última versión disponible, la cual contiene parches de seguridad para corregir esta vulnerabilidad. Además, se debe educar a los usuarios sobre los riesgos de ejecutar scripts web no confiables y se debe promover una buena práctica de seguridad al seleccionar e instalar plugins en WordPress.
Es crucial mantener actualizados los plugins de WordPress y estar atento a las vulnerabilidades conocidas para protegerse contra posibles ataques de seguridad. La prevención y la conciencia son clave para mantener la integridad de un sitio web en WordPress.