El plugin de WordPress Guest posting / Frontend Posting – WP Front User Submit / Front Editor presenta una vulnerabilidad de Cross-Site Scripting almacenado (Stored XSS) que afecta a todas las versiones hasta la 4.4.1. Esta vulnerabilidad permite a atacantes autenticados con permisos de administrador o superiores inyectar scripts web arbitrarios que se ejecutarán cuando un usuario acceda a una página comprometida.
La vulnerabilidad se debe a una insuficiente sanitización de entrada y escape de salida en la configuración de formularios del plugin. Esto afecta a instalaciones multi-sitio y a instalaciones donde se ha desactivado unfiltered_html. Para mitigar este riesgo, se recomienda actualizar el plugin a la última versión disponible lo antes posible. Además, se sugiere restringir el acceso de los usuarios con roles de administrador y utilizar sistemas de seguridad adicionales como firewalls de aplicaciones web para detectar y bloquear posibles ataques de XSS.
La seguridad en WordPress es fundamental para proteger la integridad de los sitios web. Mantener los plugins actualizados y seguir buenas prácticas de seguridad, como la limitación de los permisos de los usuarios, contribuirá a reducir la exposición a vulnerabilidades como las de Cross-Site Scripting almacenado.