El plugin Editor de Campos Personalizados en WooCommerce Checkout para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la función save_wcfe_options en todas las versiones hasta, e incluyendo, la 1.3.1 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a una versión que corrija el problema tan pronto como esté disponible. Además, se recomienda a los administradores de sitios web aplicar controles de seguridad adicionales, como la limitación de los permisos de los usuarios autenticados y la monitorización regular de las actividades sospechosas en el sitio.
Es crucial que los usuarios y administradores de sitios web tomen medidas para proteger sus sitios de posibles ataques de Cross-Site Scripting almacenado. La actualización del plugin y la implementación de medidas de seguridad adicionales son pasos fundamentales para mitigar el riesgo de explotación de esta vulnerabilidad.