El plugin FormFlow: WhatsApp & Social Form Builder for Leads para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 2.12.1 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con permisos de nivel administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se ha deshabilitado unfiltered_html.
Los usuarios afectados por esta vulnerabilidad deben actualizar de inmediato a la última versión del plugin FormFlow para evitar posibles ataques de Cross-Site Scripting. Además, se recomienda a los usuarios restringir el acceso a los roles de administrador solo a usuarios de confianza y habilitar la opción de escapar la salida de datos en todas las configuraciones del plugin para prevenir cualquier inyección de scripts maliciosos.
Es fundamental para la seguridad de un sitio web WordPress mantenerse al día con las actualizaciones de plugins y temas, así como seguir las mejores prácticas de seguridad para prevenir vulnerabilidades como el Cross-Site Scripting almacenado. Al tomar medidas proactivas para protegerse, se puede evitar la exposición a posibles ataques cibernéticos.