El plugin de WordPress Admin Page Spider es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, 3.20 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con permisos de nivel de administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde unfiltered_html ha sido deshabilitado.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible, en este caso la versión 3.21 que soluciona este problema de seguridad. Además, se recomienda a los administradores de sitios web seguir las mejores prácticas de seguridad, como limitar el número de roles con permisos de administrador, validar y filtrar adecuadamente la entrada de los usuarios antes de mostrarla en la página, y mantener un monitoreo activo de posibles amenazas de seguridad.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para protegerse contra posibles vulnerabilidades. En este caso, la actualización a la versión 3.21 del plugin Admin Page Spider resolverá el problema de Cross-Site Scripting almacenado para los usuarios afectados.