El plugin Simple Ajax Chat – Add a Fast, Secure Chat Box para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, 20231101 debido a una sanitización insuficiente de la entrada y escape de la salida.
Esto permite a atacantes autenticados, con permisos de nivel administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se ha deshabilitado unfiltered_html. Para subsanar este problema, se recomienda desinstalar el plugin Simple Ajax Chat y buscar alternativas más seguras que implementen una adecuada sanitización de entrada y escape de salida en todas las interacciones con usuarios.
Es crucial que los administradores de sitios WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen medidas proactivas para proteger sus sitios y usuarios.