El plugin Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcode(s) del plugin en todas las versiones hasta, e incluyendo, la 4.15.2 debido a una sanitización insuficiente de la entrada y escapado de la salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de nivel contribuidor y superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin ProfilePress a la última versión disponible, en este caso a la versión 4.15.3 o posterior, la cual incluye parches de seguridad para subsanar este problema. Además, se recomienda a los administradores del sitio restringir el acceso a los contribuidores y usuarios superiores hasta que se haya aplicado la actualización para evitar posibles ataques.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para evitar vulnerabilidades de seguridad como esta. La rápida implementación de parches de seguridad y la restricción de permisos de usuario pueden ayudar a proteger los sitios web de posibles ataques de Cross-Site Scripting almacenado.