El plugin de WordPress Bloques de Contenido (Widget de Publicación Personalizada) es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘content_block’ en todas las versiones hasta, e incluyendo, la 3.3.0 debido a una sanitización insuficiente de la entrada y escape de la salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en la que se hayan corregido las vulnerabilidades de seguridad. Además, se aconseja a los administradores de sitios web restringir el acceso de los usuarios a roles más bajos que el de contribuidor, limitando así la superficie de ataque potencial.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para protegerse contra vulnerabilidades conocidas como esta de Cross-Site Scripting. La precaución y la atención constante a las actualizaciones de seguridad son cruciales para mantener la integridad y la seguridad de un sitio web en WordPress.