El plugin YARPP – Yet Another Related Posts Plugin para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado que afecta a versiones anteriores a la 5.30.9. Esta vulnerabilidad permite a atacantes autenticados con permisos de administrador o superiores inyectar scripts web maliciosos en páginas del sitio.
La vulnerabilidad surge de una sanitización insuficiente de la entrada de datos y la falta de escapado de la salida en la configuración de administración del plugin. Esto posibilita a los atacantes autenticados inyectar scripts web arbitrarios en las páginas, los cuales se ejecutarán cuando un usuario acceda a la página comprometida. Es importante destacar que este problema solo afecta a instalaciones de WordPress multi-sitio y a instalaciones donde se ha deshabilitado unfiltered_html.
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin YARPP a la última versión disponible. Además, se aconseja a los usuarios no otorgar permisos de administrador a usuarios no confiables y mantener actualizadas todas las extensiones de WordPress para evitar posibles ataques de Cross-Site Scripting.