La vulnerabilidad CVE-2025-0369 permite a atacantes autenticados con nivel de acceso Contributor y superior inyectar scripts web arbitrarios en páginas de WordPress utilizando el plugin JetEngine hasta la versión 3.6.2.
El plugin JetEngine para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘list_tag’ en todas las versiones hasta, e incluyendo, la 3.6.2 debido a una sanitización insuficiente de la entrada y a la falta de escapado de la salida. Esto permite que los atacantes autenticados, con acceso de nivel Contributor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin JetEngine a la última versión disponible y siempre mantener todas las extensiones y temas actualizados. Además, se aconseja a los administradores de sitios web realizar una revisión de seguridad periódica y restringir los privilegios de los usuarios para minimizar el impacto de posibles ataques de Cross-Site Scripting almacenado.