En este reporte de seguridad se revela una vulnerabilidad en el plugin SendPulse Free Web Push para WordPress que permite a atacantes no autenticados inyectar scripts maliciosos en páginas web.
La versión 1.3.6 y anteriores del plugin SendPulse Free Web Push para WordPress son vulnerables a Cross-Site Scripting almacenado debido al uso incorrecto de la función wp_kses_allowed_html. Esto posibilita a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
Se recomienda a los usuarios del plugin SendPulse Free Web Push actualizar a la última versión disponible lo antes posible para mitigar el riesgo de ataques de Cross-Site Scripting. Además, se sugiere revisar regularmente la seguridad de los plugins y temas instalados en WordPress para evitar vulnerabilidades similares en el futuro.