El plugin GeoDirectory – WordPress Business Directory, o Classified Directory para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘gd_single_tabs’ en todas las versiones hasta, e incluyendo, la 2.3.48 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por los usuarios. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin GeoDirectory a la versión 2.3.49 o posterior para mitigar este riesgo. Además, se recomienda no otorgar automáticamente privilegios de contribuidor a usuarios sin necesidad, ya que esto limitará la cantidad de personas con capacidad para realizar una inyección de scripts maliciosos. También se sugiere implementar medidas de seguridad adicionales, como firewalls de aplicaciones web y escaneos regulares de seguridad para detectar posibles vulnerabilidades en el sitio.
Es fundamental que los propietarios de sitios web que utilizan el plugin GeoDirectory estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger sus sitios de posibles ataques de Cross-Site Scripting. Mantener todos los plugins y temas actualizados, así como limitar los privilegios de los usuarios, son buenas prácticas para garantizar la seguridad de su sitio WordPress.