El plugin Files Download Delay para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del shortcode ‘fddwrap’ en todas las versiones hasta, e incluyendo, la 1.0.9 debido a una insuficiente sanitización de entradas y escape de salida en atributos proporcionados por usuarios. Esto permite a atacantes autenticados, con accesos de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar inmediatamente a la última versión del plugin Files Download Delay (1.1.0) que soluciona este problema de seguridad. Además, se recomienda a los usuarios no confiar únicamente en la autenticación para proteger sus sitios web y hacer uso de prácticas de seguridad adicionales como la verificación de entradas de usuario y la implementación de listas blancas de atributos permitidos en los shortcodes.
Es fundamental que los administradores de WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen medidas proactivas para garantizar la seguridad de sus sitios web. La actualización regular de plugins y la implementación de buenas prácticas de seguridad son pasos clave para protegerse contra posibles ataques.