El plugin Themedy Toolbox para WordPress es vulnerable a XSS almacenado a través de los shortcodes themedy_col, themedy_social_link, themedy_alertbox y themedy_pullleft en todas las versiones hasta la 1.0.14, y hasta la 1.0.15 para el shortcode themedy_button debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada.
Se recomienda a los usuarios actualizar el plugin Themedy Toolbox a la versión 1.0.16 o superior para mitigar este problema. Además, se debe evitar el uso de usuarios de nivel de contribuidor o superior en entornos no confiables o compartir privilegios de acceso. Es importante seguir las mejores prácticas de seguridad, como no confiar en la entrada de usuarios y escapar correctamente la salida para prevenir XSS.
Es fundamental mantener todos los plugins de WordPress actualizados y seguir las recomendaciones de seguridad para proteger tu sitio web contra vulnerabilidades como la explotada en Themedy Toolbox <= 1.0.15.