El plugin tagDiv Composer para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode de botón del plugin en todas las versiones hasta, e incluyendo, la 4.8 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel contribuidor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. NOTA: El código vulnerable en este plugin está específicamente ligado al tema tagDiv Newspaper. Si se instala otro tema (por ejemplo, NewsMag), es posible que este código no esté presente.
Para subsanar este problema de seguridad, se recomienda a los usuarios actualizar el plugin tagDiv Composer a la última versión disponible que contenga un parche para esta vulnerabilidad. Además, se aconseja a los administradores del sitio que limiten el acceso de los roles de contribuidor y superiores para reducir el riesgo de un ataque exitoso. También es importante educar a los usuarios sobre los riesgos de seguridad asociados con la inyección de scripts en páginas web.
Es crucial que los propietarios de sitios web y administradores de WordPress estén al tanto de las vulnerabilidades en plugins populares como tagDiv Composer y tomen las medidas necesarias para proteger sus sitios y usuarios. La seguridad cibernética es un aspecto fundamental en la gestión de un sitio web y no debe pasarse por alto.