El plugin RumbleTalk Live Group Chat – HTML5 para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘rumbletalk-admin-button’ en todas las versiones hasta, e incluyendo, la 6.3.0 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuyente y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, los usuarios deben actualizar el plugin RumbleTalk Live Group Chat – HTML5 a la última versión disponible que soluciona esta vulnerabilidad. Además, se recomienda a los administradores del sitio que limiten los privilegios de los usuarios para reducir el riesgo de explotación de este tipo de vulnerabilidades en sus sitios web.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para protegerse contra posibles vulnerabilidades de seguridad. La buena práctica de limitar los permisos de los usuarios también puede ayudar a mitigar los riesgos asociados con las vulnerabilidades de este tipo.