El plugin Checkout for PayPal para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘checkout_for_paypal’ en todas las versiones hasta, e incluyendo, la 1.0.32 debido a una sanitización insuficiente de la entrada y escape de salida en los atributos suministrados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada. Una vez que un atacante ha inyectado un script malicioso, pueden robar información confidencial, como cookies de sesión, o redirigir a los usuarios a sitios web maliciosos.
Para mitigar este riesgo, se recomienda a los usuarios actualizar su plugin Checkout for PayPal a la última versión disponible, en este caso, la 1.0.33. Además, se insta a los administradores a monitorear de cerca cualquier actividad sospechosa en sus sitios web y a educar a los usuarios sobre las prácticas seguras de navegación en línea.