El plugin Category and Taxonomy Image para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro ‘_category_image’ en versiones hasta, e incluyendo, 1.0.0 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados con permisos de editor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se haya deshabilitado unfiltered_html.
Para mitigar este problema, se recomienda a los usuarios actualizar a la última versión del plugin lo antes posible. Además, se debe educar a los usuarios sobre los riesgos de seguridad asociados con la inserción de código arbitrario en los sitios web. Es fundamental tener cuidado al permitir a los usuarios cargar imágenes y otros archivos, ya que estos pueden contener scripts maliciosos.
Es crucial mantener todos los plugins y temas de WordPress actualizados para protegerse contra vulnerabilidades conocidas. La seguridad en línea es responsabilidad de todos, y la conciencia sobre los riesgos de seguridad es esencial para mantener protegidos los sitios web.