La vulnerabilidad de Cross-Site Scripting Almacenado en el plugin Accordion Slider para WordPress, en versiones hasta la 1.9.11, permite a atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada.
El plugin Accordion Slider para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del atributo ‘html’ de un slider de acordeón en todas las versiones hasta la 1.9.11 debido a una sanitización insuficiente de la entrada y a una falta de escape en la salida. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada. NOTA: La explotación exitosa por parte de usuarios de nivel Contributor requiere que un usuario de nivel Administrador proporcione acceso al área de administración del plugin a través del ajuste del plugin `Access`, el cual está restringido por defecto a administradores.
Para mitigar el riesgo de esta vulnerabilidad, se recomienda a los usuarios actualizar a la versión más reciente del plugin Accordion Slider, en la cual se han implementado medidas de seguridad para evitar la inyección de scripts maliciosos. Además, se aconseja a los administradores limitar el acceso a la administración de plugins solo a roles de usuario autorizados, como medida adicional de seguridad.