El plugin TPG Get Posts para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘tpg_get_posts’ en todas las versiones hasta, e incluyendo, la 3.6.5 debido a una insuficiente sanitización de la entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin TPG Get Posts a la última versión disponible, en este caso, a partir de la versión 3.6.6. Además, se recomienda a los administradores del sitio restringir los privilegios de los usuarios a la menor cantidad necesaria para realizar sus tareas, lo que reduce la superficie de ataque en caso de una explotación exitosa.
Es fundamental mantener los plugins de WordPress actualizados y seguir buenas prácticas de seguridad, como la restricción de privilegios de usuario, para mitigar el riesgo de ataques de Cross-Site Scripting almacenado en sitios web basados en WordPress.