El plugin RightMessage WP para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘rm_area’ del plugin en todas las versiones hasta la 0.9.7 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente el plugin RightMessage WP a la última versión disponible, en este caso, la versión 0.9.8. Además, se recomienda a los administradores del sitio WordPress que monitoreen de cerca la actividad de los contribuidores y roles superiores para detectar cualquier indicio de actividad maliciosa. También es importante educar a los usuarios con roles de contribuidor y superiores sobre los riesgos de inyectar scripts web en las páginas del sitio.
La vulnerabilidad de Cross-Site Scripting Almacenado en el plugin RightMessage WP resalta la importancia de mantener actualizados los plugins de WordPress y de ser proactivos en la detección de posibles actividades maliciosas en el sitio. La seguridad debe ser una prioridad para todos los usuarios de WordPress para evitar posibles compromisos de la información del sitio y de los usuarios.