El plugin WP Shortcodes – Shortcodes Ultimate para WordPress es vulnerable a XSS almacenado a través del shortcode ‘su_members’ en todas las versiones hasta, e incluyendo, la 7.1.5 debido a la falta de saneamiento de entrada y escape de salida en el atributo ‘color’ proporcionado por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de contribuyente y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible lo antes posible para corregir este problema. Además, se recomienda a los administradores del sitio reconsiderar los privilegios otorgados a los roles de usuario, limitando el acceso a aquellos que realmente lo necesitan para reducir el riesgo de explotación. Es importante educar a los usuarios sobre la seguridad en línea y la importancia de no hacer clic en enlaces sospechosos o proporcionar información confidencial en sitios web no confiables.
La seguridad del sitio web es un aspecto fundamental que no debe pasarse por alto. Asegurarse de mantener todos los plugins y temas actualizados, así como implementar prácticas de seguridad sólidas, puede ayudar a prevenir ataques como el XSS almacenado a través de plugins vulnerables.