El complemento AI Engine: Chatbots, Generators, Assistants, GPT 4 y más! para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los datos del chat de IA cuando el seguimiento de discusiones está habilitado en todas las versiones hasta, e incluyendo, 2.2.0 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad pueden mitigar el riesgo siguiendo estas recomendaciones: actualizar el complemento AI Engine a la última versión disponible, deshabilitar el seguimiento de discusiones si no es estrictamente necesario y estar atentos a las actualizaciones de seguridad para completar cualquier parche que se publique para abordar este problema.
Es crucial estar al tanto de las vulnerabilidades en complementos de terceros utilizados en sitios web de WordPress y tomar medidas proactivas para protegerse contra posibles ataques. Al seguir las recomendaciones mencionadas, los usuarios pueden reducir el riesgo de ser víctimas de Cross-Site Scripting sin autenticación almacenado en el complemento AI Engine.