El plugin de Contact Form by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder hasta la versión 5.1.16 para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘subject’ debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados con permisos de contribuidor o superiores, y acceso otorgado por un administrador, inyectar scripts web arbitrarios que se ejecutarán cuando un usuario acceda a la página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin a la última versión disponible, en este caso, a la versión 5.1.17 o superior. Además, se recomienda a los administradores del sitio verificar los permisos otorgados a los contribuidores y limitar el acceso a funciones sensibles que podrían ser explotadas. También es importante educar a los usuarios sobre la importancia de no hacer clic en enlaces sospechosos o descargar archivos de fuentes no confiables para evitar una posible explotación de esta vulnerabilidad.
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin de Contact Form by Fluent Forms es un recordatorio de la importancia de mantener todos los plugins y temas de WordPress actualizados y de seguir buenas prácticas de seguridad en todo momento para protegerse contra posibles ataques.