El plugin CalculatorPro Calculators para WordPress es vulnerable a una vulnerabilidad de Script Cross-Site Reflejado a través de varios parámetros en la función ‘CP_preview_calc’ en versiones hasta, e incluyendo, la 1.1.7 debido a una saneación insuficiente de la entrada y escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace.
La vulnerabilidad de Script Cross-Site Reflejado (XSS) consiste en la inserción de código JavaScript malicioso en páginas web vistas por otros usuarios. En este caso, el plugin CalculatorPro Calculators no realiza una adecuada saneación de los datos recibidos de los parámetros de la función ‘CP_preview_calc’, lo cual permite que un atacante inyecte código JavaScript en la página generada y este se ejecute en el navegador de los usuarios que accedan a ella.
Para subsanar este problema, los usuarios del plugin CalculatorPro Calculators deben actualizar a la última versión disponible (1.1.8) que soluciona esta vulnerabilidad. Además, se recomienda verificar la seguridad de otros plugins y temas instalados en WordPress, mantener el sistema actualizado y utilizar medidas de protección adicionales, como cortafuegos y plugins de seguridad.
La vulnerabilidad de Script Cross-Site Reflejado en el plugin CalculatorPro Calculators puede ser explotada por atacantes no autenticados para ejecutar scripts web maliciosos en el navegador de los usuarios. Los usuarios deben actualizar el plugin a la última versión disponible y tomar otras medidas de seguridad para proteger su sitio web de ataques similares.