El plugin String Locator para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘sql-column’ en todas las versiones hasta, e incluyendo, la 2.6.5 debido a una insuficiente sanitización de entrada y escape de salida.
Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. Para explotar esta vulnerabilidad es necesario que WP_DEBUG esté habilitado.
Se recomienda a los usuarios del plugin String Locator actualizar a la última versión disponible para mitigar este riesgo de seguridad. Además, es importante ser consciente de los riesgos de seguridad al utilizar plugins de terceros en WordPress y asegurarse de que se aplican las mejores prácticas de seguridad, como mantener los plugins actualizados y realizar análisis de seguridad periódicos.