La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Custom Field Template para WordPress en versiones hasta 2.6.1 permite a atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida.
El plugin Custom Field Template para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración del administrador en todas las versiones hasta, e incluyendo, la 2.6.1 debido a una sanitización insuficiente de la entrada y a la falta de escapado de la salida. Esto permite a atacantes autenticados, con permisos de nivel administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida. Esto solo afecta a instalaciones multi-sitio y a instalaciones donde se ha desactivado unfiltered_html.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Custom Field Template a la última versión disponible y revisar regularmente las configuraciones de seguridad de su sitio. Además, se aconseja a los administradores de sitios WordPress seguir buenas prácticas de seguridad, como limitar el acceso de los usuarios y privilegios administrativos, y realizar auditorías de seguridad periódicas en busca de posibles vulnerabilidades.