El complemento de Carrusel deslizante para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de opciones de diapositivas en todas las versiones hasta, e incluyendo, la 2.2.9 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite a atacantes autenticados, con permisos de editor y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se ha deshabilitado unfiltered_html.
Los usuarios afectados por esta vulnerabilidad deben actualizar el complemento de Carrusel deslizante a la última versión disponible lo antes posible. Además, se recomienda a los usuarios restringir los permisos de los roles de los editores y superiores para limitar la posibilidad de inyección de scripts. También se sugiere habilitar la opción unfiltered_html solo cuando sea estrictamente necesario y revisar regularmente las páginas en busca de contenido no deseado.
Es importante que los administradores de sitios web de WordPress estén al tanto de esta vulnerabilidad en el complemento de Carrusel deslizante y tomen medidas inmediatas para proteger sus sitios. La seguridad es fundamental para mantener la integridad de un sitio web y la información de sus usuarios.