El plugin UsersWP – Formulario de inicio de sesión en el front-end, registro de usuario, perfil de usuario y directorio de miembros para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcode(s) del plugin en todas las versiones hasta, e incluyendo, 1.2.6 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite que atacantes autenticados con permisos de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin UsersWP a la versión 1.2.7 o superior, donde se han implementado medidas de seguridad para mitigar esta vulnerabilidad. Además, se aconseja a los administradores del sitio web educar a los usuarios sobre los riesgos de seguridad asociados con la ejecución de scripts web arbitrarios en sus páginas y la importancia de mantener actualizados los plugins y temas de WordPress para evitar posibles ataques de Cross-Site Scripting.
Es fundamental para la seguridad de un sitio web de WordPress mantenerse al tanto de las actualizaciones de los plugins y temas instalados, así como de concientizar a los usuarios sobre las buenas prácticas de seguridad en línea para prevenir ataques de Cross-Site Scripting y otras vulnerabilidades comunes.