El plugin Shariff Wrapper para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘shariff’ en todas las versiones hasta, e incluyendo, la 4.6.13 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario como ‘borderradius’ y ‘timestamp’. Esto permite que atacantes autenticados, con acceso de nivel colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Shariff Wrapper a la última versión disponible. Además, se debe evitar el uso de atributos no verificados en el shortcode ‘shariff’ o cualquier otro shortcode proporcionado por plugins no confiables. Se aconseja a los administradores del sitio restringir el acceso de los colaboradores a la capacidad de insertar shortcodes para reducir el riesgo de explotación de esta vulnerabilidad.
Es fundamental tomar medidas proactivas para proteger la integridad de un sitio WordPress y prevenir posibles ataques de Cross-Site Scripting. Mantener todos los plugins y temas actualizados, así como limitar los permisos de los usuarios, son prácticas recomendadas para garantizar la seguridad en línea.