El plugin Payment Button for PayPal para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘wp_paypal_checkout’ en todas las versiones hasta, e incluyendo, la 1.2.3.35 debido a una sanitización insuficiente de la entrada y escape de salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Payment Button for PayPal puede explotarse por usuarios autenticados con privilegios de colaborador o superior. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible. Asimismo, se sugiere realizar una revisión de seguridad en busca de posibles scripts maliciosos inyectados en las páginas que utilizan el shortcode ‘wp_paypal_checkout’. Adicionalmente, se recomienda seguir buenas prácticas de seguridad, como limitar los privilegios de los usuarios y validar la entrada de datos en todas las formas.
Es crucial que los usuarios tomen medidas proactivas para proteger sus sitios web de posibles vulnerabilidades, como la explotación de Cross-Site Scripting almacenado en el plugin de Payment Button for PayPal. Mantener todos los plugins y temas actualizados, así como seguir buenas prácticas de seguridad, puede ayudar a prevenir ataques exitosos.