La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Colibri Page Builder para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en las páginas del sitio, lo que puede comprometer la seguridad de los usuarios.
El plugin Colibri Page Builder para WordPress es vulnerable al Cross-Site Scripting almacenado a través del shortcode ‘colibri-gallery-slideshow’ en todas las versiones hasta, e incluyendo, la 1.0.272 debido a una insuficiente sanitización de entrada y escape de salida en los atributos suministrados por el usuario. Esto posibilita que atacantes autenticados, con nivel de acceso de contribuidor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Colibri Page Builder tan pronto como esté disponible. Además, se aconseja a los administradores del sitio restringir los niveles de acceso de los usuarios a las funciones estrictamente necesarias para reducir el riesgo de explotación de vulnerabilidades.