El plugin TCBD Auto Refresher para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘tcbd_auto_refresh’ en todas las versiones hasta la 2.0. Esto se debe a una insuficiente sanitización de la entrada de usuario y escape de salida en los atributos suministrados. Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin TCBD Auto Refresher a la última versión disponible que resuelva el problema de Cross-Site Scripting. Además, se recomienda a los usuarios restringir el acceso de contribuidores y roles superiores en el sitio web para reducir el riesgo de ataques de usuarios malintencionados.
Es fundamental para los propietarios de sitios web mantener sus plugins actualizados y revisar regularmente las configuraciones de roles de usuario para garantizar la seguridad de sus sitios WordPress.