El plugin Portfolio Gallery – Image Gallery Plugin para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘PFG’ del plugin en todas las versiones hasta, e incluyendo, la 1.6.4 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario accede a una página inyectada. Para mitigar este riesgo, se recomienda actualizar el plugin a la versión más reciente disponible, que incluya una solución para esta vulnerabilidad. Además, se aconseja a los usuarios no confiar en entradas de usuarios no confiables y sanear adecuadamente las entradas antes de mostrarlas en el sitio web.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para protegerse contra vulnerabilidades conocidas y reducir el riesgo de ataques maliciosos. La seguridad siempre debe ser una prioridad en la gestión de un sitio web para garantizar la protección de los datos y la privacidad de los usuarios.