El plugin ParityPress – Parity Pricing with Discount Rules para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del campo ‘Discount Text’ en todas las versiones hasta, e incluyendo, la 1.0.0 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite a atacantes autenticados, con permisos de nivel administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página afectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se haya deshabilitado unfiltered_html.
Los usuarios afectados por esta vulnerabilidad pueden protegerse asegurándose de mantener actualizado el plugin ParityPress a la última versión disponible. Además, se recomienda utilizar un filtro de seguridad que bloquee scripts maliciosos en las entradas del campo ‘Discount Text’. También es importante habilitar protecciones adicionales como Content Security Policy (CSP) para mitigar los riesgos de Cross-Site Scripting.
Es fundamental que los administradores de sitios web estén al tanto de las vulnerabilidades presentes en los plugins y temas de WordPress que utilizan, y tomen medidas proactivas para proteger sus sitios. Actuar rápidamente para corregir vulnerabilidades conocidas puede ayudar a prevenir ataques y proteger la integridad de la información de los usuarios.