El plugin Property Hive Mortgage Calculator para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘price’ en todas las versiones hasta, e incluyendo, la 1.0.6 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
El problema radica en la falta de validación adecuada en el campo ‘price’, lo que permite a un usuario malintencionado ejecutar scripts en el contexto del sitio web afectado. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin Property Hive Mortgage Calculator disponible y restringir el acceso a usuarios autenticados con privilegios mínimos necesarios.
Es crucial mantener actualizados los plugins de WordPress y restringir los privilegios de los usuarios para reducir la probabilidad de ataques de Cross-Site Scripting como el identificado en el plugin Property Hive Mortgage Calculator.