La vulnerabilidad de Cross-Site Scripting almacenado en el plugin WP Go Maps (anteriormente WP Google Maps) para WordPress afecta a todas las versiones hasta la 9.0.36, permitiendo a atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página.
El plugin WP Go Maps no realiza una suficiente sanitización de entrada y escape de salida en los atributos proporcionados por los usuarios a través del shortcode wpgmza. Esto permite a atacantes autenticados, con un nivel de acceso de contribuyente o superior, inyectar scripts web peligrosos en las páginas del sitio WordPress comprometido. Los usuarios deben actualizar a la última versión del plugin tan pronto como esté disponible para protegerse contra esta vulnerabilidad. Además, se recomienda no otorgar privilegios de contribuyente a usuarios no confiables para mitigar el riesgo de explotación.
Es crucial que los usuarios de WP Go Maps (anteriormente WP Google Maps) estén al tanto de esta vulnerabilidad y tomen medidas para proteger sus sitios web. Mantener el plugin actualizado y limitar los privilegios de usuario son pasos importantes para prevenir ataques de Cross-Site Scripting almacenado en WordPress.