El plugin AutomatorWP para automatizaciones sin código, webhooks e integraciones personalizadas en WordPress es vulnerable a XSS reflejado a través del parámetro ‘a-0-o-search_field_value’ en todas las versiones hasta, e incluyendo, 5.0.9 debido a una sanitización insuficiente de la entrada y escape de la salida.
Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. Cuando se utiliza en conjunto con la función de importación y código del complemento, esta vulnerabilidad puede ser aprovechada para ejecutar código arbitrario.
Para mitigar este problema, se recomienda a los usuarios actualizar el plugin AutomatorWP a la versión más reciente disponible, la 5.1.0, que corrige esta vulnerabilidad. Además, se aconseja a los usuarios ser conscientes de los riesgos potenciales al interactuar con enlaces y acciones dentro de WordPress para evitar caer en ataques de XSS.