La vulnerabilidad de Cross-Site Scripting almacenado (Stored XSS) en el complemento Slotti Ajanvaraus para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios que se ejecutarán cuando un usuario acceda a una página vulnerable.
El complemento Slotti Ajanvaraus para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘slotti-embed-ga’ en todas las versiones hasta, e incluyendo, la 1.3.1 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del complemento Slotti Ajanvaraus tan pronto como sea posible. Además, se insta a los administradores del sitio a realizar una revisión de seguridad exhaustiva en busca de posibles inyecciones de scripts y a implementar medidas de seguridad adecuadas para prevenir futuros ataques de Cross-Site Scripting almacenado.