El plugin GamiPress, utilizado para premiar puntos, logros, medallas y rangos en WordPress, presenta una vulnerabilidad de Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta la 6.9.0. Esta vulnerabilidad es debida a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por los usuarios.
Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a dicha página.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin GamiPress a la versión 6.9.1 o superior para mitigar este riesgo de seguridad. Además, se recomienda a los administradores del sitio web implementar prácticas de seguridad robustas, como limitar los privilegios de los usuarios y realizar una correcta validación de entrada de datos para prevenir futuros ataques XSS.