El complemento de Código Corto y Funciones Adicionales para el tema Phlox en WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro JS personalizado en todas las versiones hasta, e incluyendo, la 2.15.5 debido a una sanitización insuficiente de la entrada y un escape inadecuado de la salida. Esto hace posible que atacantes autenticados, con acceso de contribuidor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el complemento a la última versión disponible, en este caso, la 2.15.6 o superior. Además, se recomienda a los administradores del sitio que implementen una política de seguridad estricta para evitar que los atacantes aprovechen esta vulnerabilidad. También se sugiere verificar y limpiar regularmente cualquier contenido generado por usuarios no confiables para prevenir ataques de Cross-Site Scripting.
Mantener los complementos y temas actualizados, así como seguir buenas prácticas de seguridad como la sanitización de entradas y el escape de salida de datos, son importantes para proteger un sitio WordPress contra ataques de Cross-Site Scripting y otras amenazas de seguridad en línea.