El plugin Collapse-O-Matic para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘expand’ del plugin en todas las versiones hasta, e incluyendo, 1.8.5.5 debido a una sanitización insuficiente de la entrada y escape de la salida en el atributo ‘tag’ suministrado por el usuario.
Esto permite a atacantes autenticados con permisos de nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Para subsanar este problema, los usuarios deben actualizar el plugin Collapse-O-Matic a la versión más reciente disponible que aborde esta vulnerabilidad. Además, se recomienda que los administradores supervisen de cerca las actualizaciones de seguridad de los plugins y temas de WordPress para proteger sus sitios web.
Es crucial mantener actualizados todos los plugins y temas de WordPress para mitigar el riesgo de explotación de vulnerabilidades conocidas, como en el caso de la vulnerabilidad de Cross-Site Scripting almacenado en Collapse-O-Matic <= 1.8.5.5.