El plugin Cost Calculator Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la función de carga de SVG en todas las versiones hasta, e incluyendo, la 3.1.67 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad pueden mitigar el riesgo evitando la carga de archivos SVG o aplicando filtros estrictos para controlar los tipos de archivos permitidos en la función de carga. Además, se recomienda a los administradores actualizar a la última versión del plugin tan pronto como esté disponible para corregir esta vulnerabilidad.
Es fundamental que los administradores de sitios web estén al tanto de las vulnerabilidades en plugins y temas de WordPress, y tomen medidas proactivas para proteger sus sitios y usuarios. La seguridad debe ser una prioridad constante en la gestión de un sitio web para evitar posibles ataques y pérdida de datos sensibles.