El plugin Login Logout Register Menu para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘llrmloginlogout’ en todas las versiones hasta, e incluyendo, la 2.0 debido a una insuficiente sanitización de la entrada y escape de la salida en atributos suministrados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada. Para prevenir este tipo de ataques, se recomienda a los usuarios del plugin Login Logout Register Menu actualizar a la última versión disponible (si se ha lanzado un parche de seguridad) o deshabilitar temporalmente el uso del shortcode ‘llrmloginlogout’ hasta que se resuelva el problema de seguridad.
Es crucial para los usuarios de WordPress estar al tanto de las vulnerabilidades en los plugins que utilizan y tomar medidas proactivas para mitigar los riesgos de seguridad. Mantener los plugins actualizados y estar al tanto de los avisos de seguridad emitidos por los desarrolladores es fundamental para proteger los sitios web de posibles ataques.