El plugin Simple Image Popup Shortcode para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘sips_popup’ en todas las versiones hasta, e incluyendo, la 1.0 debido a una insuficiente sanitización de la entrada y escape de la salida en los atributos suministrados por el usuario.
Esto permite a atacantes autenticados, con nivel de acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida. Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible tan pronto como sea posible y revisar y validar cualquier contenido generado con el shortcode ‘sips_popup’ para asegurarse de que no contenga scripts maliciosos.
Mantener todos los plugins y temas de WordPress actualizados es crucial para protegerse contra amenazas de seguridad como el Cross-Site Scripting. Además, se recomienda realizar auditorías regulares de seguridad en los sitios web para identificar y abordar posibles vulnerabilidades.