Se ha identificado una vulnerabilidad de Cross-Site Scripting almacenado en el plugin Marketplace Items para WordPress que afecta a todas las versiones hasta la 1.5.5. Esta vulnerabilidad permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en las páginas del sitio.
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Marketplace Items para WordPress se debe a una incorrecta neutralización de la entrada de datos durante la generación de páginas web. Específicamente, el shortcode ‘envato’ del plugin no realiza una sanitización suficiente de la entrada y el escape de la salida en los atributos suministrados por el usuario. Esto permite a los atacantes autenticados realizar inyecciones de scripts web en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar el riesgo de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Marketplace Items a la última versión disponible y revisar regularmente los permisos de los usuarios para limitar el acceso de contribuidores y roles superiores. Además, se sugiere implementar medidas de seguridad adicionales, como firewalls de aplicaciones web y auditorías de seguridad regulares para detectar posibles vulnerabilidades.