El plugin Easy Form Builder para WordPress, utilizado para crear formularios de contacto, encuestas, pagos y personalizados, presenta una vulnerabilidad de Cross-Site Scripting almacenado que afecta a todas las versiones hasta la 3.8.8. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso de Suscriptor o superior inyectar scripts web maliciosos en páginas que se ejecutarán cada vez que un usuario acceda a dicha página.
La vulnerabilidad radica en la falta de sanitización de entrada y escape de salida del parámetro ‘name’ de la acción AJAX ‘add_form_Emsfb’, lo que permite a un atacante inyectar scripts maliciosos. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin Easy Form Builder, en este caso la versión 3.8.9. Además, se debe revisar y validar cuidadosamente los datos de entrada antes de procesarlos para evitar ataques de Cross-Site Scripting almacenado.
Es fundamental para los usuarios de Easy Form Builder mantenerse al día con las actualizaciones de seguridad y seguir las mejores prácticas de desarrollo seguro para proteger sus sitios web de este tipo de vulnerabilidades.