La vulnerabilidad de Cross-Site Scripting almacenado en el plugin ‘HIPAA Compliant Forms with Drag’n’Drop HIPAA Form Builder. Sign HIPAA documents’ para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en páginas vulnerables.
El plugin ‘HIPAA Compliant Forms with Drag’n’Drop HIPAA Form Builder. Sign HIPAA documents’ para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘hipaatizer’ en todas las versiones hasta la 1.3.4 debido a una sanitización insuficiente de la entrada y escape de la salida en los atributos suministrados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel contribuidor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Se recomienda a los usuarios de este plugin actualizar a la última versión disponible lo antes posible para mitigar el riesgo de ataques de Cross-Site Scripting. Además, se recomienda a los desarrolladores de plugins seguir buenas prácticas de seguridad, como la sanitización adecuada de las entradas de usuario para prevenir este tipo de vulnerabilidades en el futuro.