El plugin Custom Field Suite para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘cfs[post_content]’ en las versiones hasta, e incluyendo, la 2.6.7 debido a una insuficiente sanitización de la entrada y escape de salida.
Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada. Para mitigar este problema, se recomienda actualizar a la última versión del plugin Custom Field Suite y también se debe ser cuidadoso al otorgar roles de usuario con privilegios de contributor o superior.
La seguridad en WordPress es fundamental para proteger tu sitio web de vulnerabilidades como el Cross-Site Scripting. Siempre es recomendable mantener todos los plugins y themes actualizados, así como seguir las mejores prácticas de seguridad en la gestión de usuarios y permisos.