La vulnerabilidad de Cross-Site Scripting almacenado en el plugin de WordPress Listdom – Business Directory and Classified Ads Listings hasta la versión 3.7.0 permite a atacantes autenticados inyectar scripts web arbitrarios en páginas, pudiendo comprometer la seguridad de los usuarios con acceso de nivel Contributor y superior.
El plugin Listdom – Business Directory and Classified Ads Listings para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘shortcode’ en todas las versiones hasta la 3.7.0 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin Listdom a la última versión disponible lo antes posible. Además, se debe restringir el acceso de los roles de usuario a la funcionalidad del plugin para limitar la exposición a posibles ataques de Cross-Site Scripting.