En este reporte de seguridad se ha encontrado una vulnerabilidad en el complemento TNC PDF viewer para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superior inyectar scripts web maliciosos en páginas, lo que puede llevar a ataques de Cross-Site Scripting almacenada.
El complemento TNC PDF viewer versiones 2.8.0 y anteriores no realiza una adecuada sanitización de los atributos proporcionados por el usuario en sus shortcodes, lo cual resulta en una falta de escapado de salida. Esto permite a los atacantes con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página con dicho script inyectado.
Como solución para subsanar este problema, se recomienda actualizar el complemento a la última versión disponible. Además, se debe realizar una auditoría de seguridad en busca de posibles inyecciones de código no autorizadas en las páginas afectadas, y aplicar las correcciones necesarias.
Es importante tener en cuenta que el riesgo de explotación de esta vulnerabilidad aumenta si se permite a usuarios no confiables tener permisos de contribuidor o superiores en el sitio WordPress.
La vulnerabilidad de Cross-Site Scripting almacenada en el complemento TNC PDF viewer versiones 2.8.0 y anteriores puede ser aprovechada por atacantes autenticados con ciertos permisos en un sitio WordPress. Para protegerse, se recomienda actualizar el complemento y llevar a cabo una auditoría de seguridad para detectar y corregir posibles inyecciones de código. Mantener todos los complementos y temas actualizados también es fundamental para mantener la seguridad de un sitio WordPress.