El plugin Absolute Reviews para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado que afecta a la versión 1.1.3 y anteriores. Esta vulnerabilidad permite a atacantes autenticados con nivel de Contribuidor o superior inyectar scripts web maliciosos en páginas del sitio.
La vulnerabilidad se encuentra en el campo ‘Name’ de un criterio de publicación personalizado, debido a una insuficiente sanitización de entradas y escape de la salida. Esto significa que un atacante con privilegios de Contribuidor o superiores puede aprovechar esta vulnerabilidad para inyectar scripts web maliciosos que se ejecutarán cuando un usuario acceda a la página inyectada. Para mitigar este riesgo, se recomienda actualizar el plugin Absolute Reviews a la última versión disponible lo antes posible.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para evitar posibles vulnerabilidades de seguridad como esta. Además, es importante que los usuarios con privilegios de Contribuidor o superiores sean conscientes de los riesgos de seguridad al ingresar contenido en campos sensibles como el campo ‘Name’ en Absolute Reviews.