La vulnerabilidad de Cross-Site Scripting Reflejado afecta al plugin kvCORE IDX para WordPress, permitiendo a atacantes inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
El plugin kvCORE IDX para WordPress es vulnerable al Cross-Site Scripting Reflejado a través de cualquier parámetro en páginas con los shortcodes kvcoreidx_listings_sitemap_ranges, kvcoreidx_listings_sitemap_page, kvcoreidx_agent_profile_sitemap o kvcoreidx_agent_profile presentes en todas las versiones hasta, e incluyendo, la 2.3.35 debido a una insuficiente sanitización de entrada y escape de salida. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un usuario para realizar una acción como hacer clic en un enlace.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin kvCORE IDX a la última versión disponible, así como estar atentos a cualquier comunicado o parche de seguridad proporcionado por el desarrollador. Además, es importante ser cauteloso al hacer clic en enlaces o abrir archivos de fuentes desconocidas en WordPress para evitar posibles ataques de este tipo.