En este informe se detalla una vulnerabilidad en el plugin Social Auto Poster para WordPress que permite a atacantes autenticados con nivel de acceso Suscriptor y superior realizar ataques de Cross-Site Scripting almacenado mediante el parámetro ‘wp_name’ en la función AJAX ‘wpw_auto_poster_map_wordpress_post_type’, presentes en todas las versiones hasta la 5.3.14.
La falta de saneamiento de la entrada y escape de salida en el plugin Social Auto Poster abre la puerta a ataques de Cross-Site Scripting almacenado, lo que permite a un atacante autenticado inyectar scripts maliciosos en páginas que se ejecutarán cuando un usuario acceda a la página comprometida. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible y también evitar otorgar accesos de Suscriptor o superiores a usuarios no confiables.
Es fundamental mantener todos los plugins, temas y la propia instalación de WordPress actualizados a las últimas versiones para protegerse contra vulnerabilidades conocidas, como en el caso de este fallo de seguridad en Social Auto Poster.