El plugin Custom Field Suite para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de una importación de metadatos en todas las versiones hasta, e incluyendo, 2.6.4 debido a una insuficiente sanitización de la entrada y escapado de la salida en los valores de metadatos. Esto permite a atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se haya desactivado unfiltered_html.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Custom Field Suite a la última versión disponible lo antes posible. Además, es importante seguir las buenas prácticas de seguridad como limitar el número de usuarios con permisos de administrador, monitorear constantemente la actividad del sitio en busca de comportamientos sospechosos y asegurarse de que todas las contraseñas sean sólidas y se cambien periódicamente.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para evitar posibles vulnerabilidades como esta. La seguridad debe ser una prioridad en todo momento para proteger la integridad de tu sitio web y la información de tus usuarios.