El plugin Qi Blocks para WordPress es vulnerable a Cross-Site Scripting almacenado a través del cargador de archivos del plugin en todas las versiones hasta, e incluyendo, la 1.2.9 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar secuencias de comandos web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Qi Blocks a la última versión disponible, en este caso superior a la 1.2.9. Además, se recomienda a los usuarios comprobar las entradas de los archivos que se cargan en el plugin para evitar la inyección de scripts maliciosos. También es importante restringir los privilegios de los usuarios en el sitio web para minimizar el riesgo de que un atacante aproveche esta vulnerabilidad.
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Qi Blocks resalta la importancia de mantener actualizados todos los plugins y temas de WordPress, así como de implementar buenas prácticas de seguridad en la gestión de archivos y en el control de accesos de los usuarios para prevenir posibles ataques.