La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Add Widget After Content para WordPress pone en riesgo la seguridad de los sitios web al permitir a atacantes autenticados inyectar scripts maliciosos en las páginas.
El plugin Add Widget After Content para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administración en todas las versiones hasta, e incluyendo, la versión 2.4.6 debido a la insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto afecta únicamente a instalaciones multi-sitio e instalaciones donde se ha deshabilitado ‘unfiltered_html’.
Es crucial que los usuarios del plugin Add Widget After Content actualicen a la última versión disponible de forma inmediata para mitigar el riesgo de esta vulnerabilidad. Además, se recomienda habilitar medidas de seguridad adicionales, como la restricción de permisos de administrador y la implementación de filtros de contenido para prevenir ataques de Cross-Site Scripting en sus sitios web.