La vulnerabilidad CVE-2023-3410 en el tema Bricks para WordPress permite a atacantes autenticados inyectar scripts maliciosos en páginas, lo que podría comprometer la seguridad de los usuarios que accedan a esas páginas.
La versión 1.10.1 y anteriores del tema Bricks para WordPress son vulnerables a Cross-Site Scripting almacenado a través del atributo ‘customTag’, debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso al constructor de Bricks (por defecto solo para administradores), inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a esa página. Esta vulnerabilidad se vuelve más grave cuando se otorga acceso al constructor de Bricks a usuarios con menos privilegios.
Para mitigar esta vulnerabilidad, se recomienda actualizar a la última versión de Bricks, en la cual se hayan corregido este tipo de problemas de seguridad. Además, se aconseja restringir el acceso al constructor de Bricks solo a los usuarios con los roles necesarios para evitar posibles ataques de Cross-Site Scripting almacenado.