El plugin Master Slider – Responsive Touch Slider para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘ms_slide_info’ en todas las versiones hasta la 3.9.9 debido a una insuficiente sanitización de entradas y escape de salida en el atributo ‘tag_name’ proporcionado por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada.
Para subsanar este problema, los usuarios deben actualizar el plugin a la última versión disponible lo antes posible. Además, se recomienda a los administradores del sitio web restringir el acceso de los roles de usuario a funciones que no sean estrictamente necesarias para reducir la superficie de ataque.
Es fundamental mantener los plugins de WordPress actualizados y limitar los privilegios de los usuarios para prevenir la explotación de vulnerabilidades como esta. La seguridad debe ser una prioridad constante para garantizar la protección de los sitios web.