La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Easy Social Like Box – Popup – Sidebar Widget para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en páginas del sitio web.
La vulnerabilidad se encuentra en el shortcode ‘cardoza_facebook_like_box’ del plugin en todas las versiones hasta la 4.0 debido a la insuficiente sanitización de entrada y la falta de escape de salida en los atributos suministrados por el usuario. Esto posibilita que atacantes autenticados, con permisos de nivel de contribuidor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Easy Social Like Box – Popup – Sidebar Widget a la última versión disponible y evitar otorgar permisos de contribuidor o superiores a usuarios no confiables.