El plugin Tutor LMS – Solución de eLearning y cursos en línea para WordPress es vulnerable a Scripting entre sitios almacenado a través del shortcode ‘tutor_instructor_list’ en todas las versiones hasta, e incluyendo, la 2.6.2 debido a una sanitización insuficiente de la entrada y escapado de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión disponible del plugin Tutor LMS, en este caso la versión 2.6.3 o posterior, la cual contiene correcciones de seguridad para prevenir este tipo de ataques. Además, se sugiere a los administradores del sitio restringir los privilegios de los usuarios, limitando la cantidad de usuarios con acceso al nivel de contribuidor y manteniendo solo a aquellos confiables y necesarios para el funcionamiento del sitio.
La correcta actualización del plugin Tutor LMS a la versión más reciente y la implementación de medidas para controlar los privilegios de los usuarios son pasos cruciales para prevenir la explotación de esta vulnerabilidad de Scripting entre sitios almacenado. Mantenerse al día con las actualizaciones y practicar una buena higiene de seguridad en WordPress es esencial para proteger la integridad de su sitio web.