El plugin Oxygen Builder para WordPress es vulnerable a Stored Cross-Site Scripting a través de un campo personalizado en todas las versiones hasta, e incluyendo, la 4.8 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite que atacantes autenticados, con acceso de nivel contribuyente o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada.
Esta vulnerabilidad de Cross-Site Scripting almacenada permite a los atacantes que tienen acceso como contribuyentes o superiores, aprovechar un campo personalizado en Oxygen Builder para inyectar scripts web maliciosos. Los scripts inyectados se activarán cada vez que un usuario acceda a la página comprometida. Para subsanar este problema, es recomendable actualizar el plugin a la versión 4.8.1 o superior, ya que esta versión implementa un filtro opcional que proporciona escapado de salida para datos dinámicos. Más información sobre cómo utilizar este filtro se puede encontrar en la documentación oficial de Oxygen Builder en el siguiente enlace: https://oxygenbuilder.com/documentation/other/security/#filtering-dynamic-data.
La vulnerabilidad de Cross-Site Scripting almacenada en el plugin Oxygen Builder <= 4.8 puede ser explotada por atacantes autenticados con acceso de nivel contribuyente o superior. Para protegerse contra esta vulnerabilidad, se recomienda a los usuarios que actualicen a la versión 4.8.1 del plugin, que incluye un filtro opcional para escapar la salida de datos dinámicos. Al aplicar esta actualización, los usuarios podrán prevenir inyecciones de scripts web maliciosos y garantizar la seguridad de su sitio web.