El plugin Email Subscribers by Icegram Express para WordPress es vulnerable a Cross-Site Scripting almacenado a través de una importación de CSV en todas las versiones hasta, e incluyendo, la 5.7.14 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite que atacantes autenticados, con permisos de nivel de administrador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se ha deshabilitado unfiltered_html.
Para mitigar este riesgo de seguridad, las soluciones que los usuarios pueden implementar incluyen: actualizar el plugin Icegram Express a la versión más reciente que solucione esta vulnerabilidad, mantener siempre actualizados todos los plugins y temas de WordPress para protegerse contra posibles vulnerabilidades, y realizar copias de seguridad regulares de su sitio web para poder restaurarlo en caso de un ataque exitoso.
Es fundamental que los administradores de sitios web tomen medidas preventivas para garantizar la seguridad de sus sitios. Al seguir las buenas prácticas de seguridad y mantenerse actualizados con las últimas versiones de software, se pueden reducir significativamente los riesgos de compromiso de seguridad.