El plugin PayPal Pay Now, Buy Now, Donation and Cart Buttons Shortcode para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, 1.7 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite que atacantes autenticados, con permisos de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde unfiltered_html ha sido deshabilitado.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente a la última versión del plugin, en este caso, la 1.8. Además, se recomienda restringir los permisos de los usuarios administrativos para limitar el riesgo de que un atacante pueda aprovechar esta vulnerabilidad. También es recomendable implementar un firewall de aplicaciones web (WAF) para ayudar a detectar y bloquear intentos de ataques de este tipo.
Es fundamental para los usuarios de WordPress mantener actualizados todos los plugins y temas instalados, así como implementar las mejores prácticas de seguridad para proteger sus sitios web de posibles vulnerabilidades como esta.