La vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Events Manager para WordPress permite a atacantes autenticados con permisos de administrador o superiores insertar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda a la página infectada.
El plugin Events Manager para WordPress es vulnerable a XSS almacenado a través de la configuración del panel de administración en todas las versiones hasta la 6.4.6.4 debido a una sanitización insuficiente de la entrada y a la falta de escape de la salida. Para subsanar este problema, los usuarios afectados deben actualizar el plugin a la versión más reciente disponible y revisar los permisos de los usuarios para limitar el acceso de administrador solo a usuarios de confianza. Además, se recomienda habilitar la opción de filtro de HTML no filtrado (unfiltered_html) para agregar una capa adicional de protección.
Es fundamental mantener actualizados los plugins de WordPress y revisar periódicamente los permisos de los usuarios para prevenir ataques de XSS almacenado. Al tomar medidas proactivas, se puede reducir significativamente el riesgo de compromiso de la seguridad de un sitio web.