El plugin CRM Perks – WordPress HelpDesk Integration – Zendesk, Freshdesk, HelpScout para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘crm-perks-tickets’ en todas las versiones hasta, e incluyendo, la 1.1.6 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin CRM Perks – WordPress HelpDesk Integration – Zendesk, Freshdesk, HelpScout a la última versión disponible lo antes posible. Además, se recomienda limitar el acceso de los usuarios a roles con privilegios mínimos para mitigar el riesgo de ataques. Los administradores de sitios WordPress también deben monitorear de cerca las actividades sospechosas en busca de posibles intentos de explotación de esta vulnerabilidad.
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin CRM Perks – WordPress HelpDesk Integration – Zendesk, Freshdesk, HelpScout destaca la importancia de mantener actualizados los plugins y de limitar los privilegios de los usuarios para mejorar la seguridad de un sitio WordPress.