El plugin Candifly para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘candifly’ en todas las versiones hasta, e incluyendo, la 1.0.6 debido a la insuficiente sanitización de entradas y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso a nivel de colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Candifly a la versión 1.0.7 o posterior, en la cual se han implementado medidas de seguridad para mitigar esta vulnerabilidad. Además, se aconseja a los administradores del sitio web restringir el acceso de los usuarios a plugins de terceros y realizar auditorías regulares de seguridad para identificar posibles riesgos de seguridad.
Es crucial tomar medidas proactivas para proteger la seguridad de su sitio web en WordPress, como mantener todos los plugins y temas actualizados, implementar medidas de seguridad adicionales como firewalls de aplicaciones web, y educar a los usuarios sobre la importancia de practicar buenos hábitos de seguridad cibernética.