La vulnerabilidad CVE-2025-0554 afecta al plugin Podlove Podcast Publisher para WordPress en la versión <= 4.1.25. Se trata de una vulnerabilidad de Cross-Site Scripting almacenado que permite a atacantes autenticados inyectar scripts web maliciosos en las páginas del sitio.
El fallo de seguridad radica en la falta de sanitización de la entrada de datos y el escape de salida en el valor del nombre del feed. Esto facilita a atacantes autenticados con acceso de nivel administrador la inserción de scripts web arbitrarios en las páginas del sitio que se ejecutarán cada vez que un usuario acceda a una página infectada. Es importante destacar que esta vulnerabilidad solo afecta a instalaciones multisitio y a instalaciones donde se haya deshabilitado unfiltered_html.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Podlove Podcast Publisher a la última versión disponible y mantener todas las extensiones y temas actualizados. Asimismo, se aconseja habilitar siempre las medidas de seguridad recomendadas para prevenir ataques de Cross-Site Scripting en WordPress.