El plugin GiveWP – Donation Plugin and Fundraising Platform para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘give_form’ del plugin cuando se utiliza con un formulario heredado en todas las versiones hasta, e incluyendo, la 3.10.0 debido a la insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad pueden mitigar el riesgo evitando utilizar el shortcode ‘give_form’ con formularios heredados en el plugin GiveWP versión 3.10.0 o inferior. También se recomienda actualizar a la última versión disponible del plugin para corregir esta vulnerabilidad. Además, se sugiere a los administradores de sitios web aplicar principios de seguridad como la limitación de los privilegios de los usuarios y la monitorización constante de posibles actividades sospechosas.
Es fundamental que los usuarios mantengan sus plugins actualizados y sigan las mejores prácticas de seguridad para proteger sus sitios web de posibles ataques. Al tomar medidas proactivas para corregir esta vulnerabilidad, se puede reducir significativamente el riesgo de explotación por parte de agentes malintencionados.