El plugin Contact Form by BestWebSoft para WordPress es vulnerable a XSS Reflejado a través del parámetro ‘cntctfrm_contact_subject’ en todas las versiones hasta, e incluyendo, la 4.2.8 debido a una sanitización insuficiente de la entrada y escape de salida.
Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible y no hacer clic en enlaces sospechosos o de origen desconocido.
Mantener los plugins de WordPress actualizados y ser consciente de los enlaces que se abren en el sitio web son prácticas clave para prevenir este tipo de ataques XSS.