El plugin Burst Statistics – Privacy-Friendly Analytics for WordPress para WordPress es vulnerable a Cross-Site Scripting almacenado a través del campo ‘burst_total_pageviews_count’ en todas las versiones hasta, e incluyendo, 1.5.6.1 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite que atacantes autenticados con permisos de nivel de contribuidor y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Cabe destacar que este exploit solo funciona si la víctima tiene habilitada la opción ‘Mostrar barra de herramientas al ver el sitio’ en su perfil.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente a la última versión del plugin Burst Statistics – Privacy-Friendly Analytics for WordPress. Además, se recomienda a los usuarios deshabilitar la opción ‘Mostrar barra de herramientas al ver el sitio’ en sus perfiles para reducir el riesgo de explotación de esta vulnerabilidad. También es fundamental estar atento a futuras actualizaciones y parches de seguridad emitidos por el desarrollador del plugin para protegerse contra posibles amenazas.
La seguridad en WordPress es fundamental para proteger la integridad de los sitios web. Mantener todos los plugins y temas actualizados, deshabilitar funciones no utilizadas y estar al tanto de las últimas vulnerabilidades y soluciones son prácticas recomendadas para garantizar un entorno en línea seguro.