En este reporte de seguridad, se ha descubierto una vulnerabilidad en el plugin Page Builder: Pagelayer – Drag and Drop para WordPress. La versión afectada es la 1.7.8 y permite a atacantes autenticados (con nivel de contribuidor o superior) llevar a cabo ataques de Cross-Site Scripting (XSS) almacenado a través de los campos meta ‘pagelayer_header_code’, ‘pagelayer_body_open_code’ y ‘pagelayer_footer_code’.
La falta de validación adecuada de la entrada de datos y la falta de escape de la salida en los atributos suministrados por el usuario hacen posible que un atacante autenticado con permisos de contribuidor o superiores inyecte scripts web arbitrarios en las páginas de WordPress. Estos scripts se ejecutarán cada vez que un usuario acceda a una página en la que se haya llevado a cabo la inyección. Es importante destacar que esta vulnerabilidad parece ser una reintroducción de una vulnerabilidad que fue parcheada en la versión 1.7.7 del plugin.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Page Builder: Pagelayer – Drag and Drop a su versión más reciente lo antes posible. Además, es importante mantener actualizado WordPress y todos los plugins y temas instalados en el sitio, ya que muchas veces las actualizaciones contienen correcciones de seguridad. Además, se recomienda no otorgar permisos de contribuidor o superiores a usuarios no confiables, para evitar posibles explotaciones de esta vulnerabilidad.