El plugin Arconix Shortcodes para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘box’ en todas las versiones hasta, e incluyendo, la 2.1.13 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión del plugin (si ya está disponible). Además, se recomienda a los usuarios tener cuidado al inserir cualquier shortcode en sus páginas o entradas, evitando especialmente aquellos que permiten atributos personalizados. También es importante realizar revisiones regulares de seguridad en su sitio WordPress para identificar posibles vulnerabilidades y aplicar parches o soluciones cuando sea necesario.
Mantener todos los plugins y temas actualizados, así como ser consciente de las mejores prácticas de seguridad al trabajar con código personalizado o plugins de terceros, puede ayudar a reducir el riesgo de exposición a vulnerabilidades como el Cross-Site Scripting almacenado en Arconix Shortcodes <= 2.1.13.