El plugin CWW Companion para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Module2 en todas las versiones hasta, e incluyendo, la 1.2.7 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de nivel contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin CWW Companion a la última versión disponible lo antes posible. Además, se recomienda a los usuarios no confiar ciegamente en la entrada de usuarios y realizar una revisión manual de cualquier contenido generado por usuarios con permisos de contribuidor o superior para evitar la ejecución de scripts maliciosos.
Es fundamental que los administradores de sitios web de WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen medidas proactivas para proteger sus sitios y usuarios. La actualización regular de los plugins y la revisión constante del contenido generado por usuarios puede ayudar a prevenir ataques de Cross-Site Scripting y otras amenazas de seguridad.