El plugin Slider Revolution para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del widget Add Layer en todas las versiones hasta, e incluyendo, la 6.7.11 debido a una sanitización insuficiente de la entrada y escape de la salida en los atributos ‘class’, ‘id’ y ‘title’ proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La explotación exitosa de esta vulnerabilidad requiere que un Administrador otorgue privilegios de Creación de Sliders a usuarios de nivel Autor.
Es crucial mantener actualizados los plugins de WordPress y limitar los privilegios de los usuarios para prevenir posibles ataques de Cross-Site Scripting. La seguridad en la gestión de plugins y permisos es fundamental para proteger tu sitio web.