El complemento Shariff Wrapper para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la versión 4.6.9 debido a una sanitización insuficiente de la entrada y falta de escapado en la salida. Esto permite a atacantes autenticados, con permisos de nivel de administrador o superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi sitio e instalaciones donde unfiltered_html ha sido deshabilitado.
El complemento de WordPress Shariff Wrapper versión 4.6.9 y anteriores contiene una vulnerabilidad de Cross-Site Scripting almacenado que puede ser aprovechada por atacantes autenticados para inyectar y ejecutar scripts web maliciosos en páginas visitadas por los usuarios.
La vulnerabilidad se debe a una falta de sanitización adecuada de la entrada y a la omisión del escapado en la salida de las configuraciones de administrador. Como resultado, los atacantes autenticados con permisos de nivel de administrador o superiores pueden insertar código malicioso en las páginas que ejecute cuando un usuario visite una de estas páginas inyectadas.
Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del complemento Shariff Wrapper, en la cual se han corregido estas vulnerabilidades de seguridad. Además, es recomendable mantener todos los complementos y temas de WordPress actualizados regularmente para evitar la explotación de vulnerabilidades conocidas.
Además, se sugiere habilitar la opción de filtrado de HTML no filtrado en instalaciones de WordPress para evitar potenciales ataques de inyección de código en el futuro. Esto se puede hacer configurando ‘unfiltered_html’ con valor ‘false’ dentro del archivo wp-config.php.
La vulnerabilidad de Cross-Site Scripting almacenado en el complemento Shariff Wrapper hasta la versión 4.6.9 puede ser explotada por atacantes autenticados con permisos de nivel de administrador o superiores. Actualizar a la última versión del complemento y mantener todos los complementos y temas actualizados es fundamental para mitigar este riesgo de seguridad. Además, habilitar el filtrado de HTML no filtrado en las instalaciones de WordPress puede ayudar a prevenir futuras inyecciones de código y proteger el sitio contra ataques maliciosos.
