El tema de WordPress The7 – Website and eCommerce Builder es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘url’ en los widgets de Iconos y Encabezados en todas las versiones hasta, e incluyendo, la versión 11.13.0 debido a una insuficiente saneamiento de entradas y escape de salida en atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar este problema, se recomienda a los usuarios actualizar a la última versión del tema The7 lo antes posible y asegurarse de que sus contribuidores tengan solo los permisos necesarios para evitar posibles ataques de Cross-Site Scripting almacenado.