El plugin Utilities for MTG para WordPress es vulnerable a XSS almacenado a través del shortcode ‘mtglink’ del plugin en todas las versiones hasta, e incluyendo, la 1.4.1 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con nivel de acceso de colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Utilities for MTG a la última versión disponible que corrija este problema de seguridad. Además, se recomienda la revisión de los permisos de los usuarios en el sitio web para limitar el acceso de aquellos con privilegios de colaborador y superior. En casos donde la actualización no sea posible de inmediato, se puede considerar deshabilitar temporalmente el plugin hasta que se disponga de una solución.
Es crucial que los administradores de sitios web de WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen las medidas necesarias para proteger sus sitios y usuarios de posibles ataques. La rápida aplicación de parches y la monitorización activa de la seguridad son prácticas recomendadas para mitigar el riesgo de explotación de vulnerabilidades como la de XSS almacenado en Utilities for MTG <= 1.4.1.