El plugin Stock Locations for WooCommerce para WordPress es vulnerable a una vulnerabilidad de Cross-Site Scripting (XSS) almacenada a través de la configuración del administrador en todas las versiones hasta, e incluyendo, la 2.5.9 debido a una sanitización insuficiente de la entrada y escapado de salida. Esto permite a atacantes autenticados con permisos de nivel de administrador o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada. Esto solo afecta a instalaciones de múltiples sitios e instalaciones donde se ha desactivado unfiltered_html.
La vulnerabilidad de Cross-Site Scripting almacenada permite a los atacantes inyectar código malicioso en una página web y ejecutarlo cuando un usuario accede a esa página. En el caso específico de la vulnerabilidad en el plugin Stock Locations for WooCommerce, los atacantes autenticados con privilegios de administrador o superiores pueden aprovechar esta vulnerabilidad a través de la configuración del administrador.
Para subsanar este problema, los usuarios deben actualizar el plugin Stock Locations for WooCommerce a la última versión disponible. Además, se recomienda habilitar la opción ‘unfiltered_html’ solo para usuarios de confianza y realizar una validación adecuada de las entradas y el escapado de salidas en todas las aplicaciones web.
Es crucial que los administradores de sitios web mantengan actualizados todos sus plugins y temas de WordPress para evitar vulnerabilidades conocidas como la de Cross-Site Scripting almacenada en Stock Locations for WooCommerce <= 2.5.9. Además, es importante implementar políticas de seguridad que incluyan la validación y el escapado adecuados de las entradas y salidas de datos en todas las aplicaciones web para evitar la explotación de este tipo de vulnerabilidades.