El plugin EAN for WooCommerce para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘alg_wc_ean_product_meta’ en todas las versiones hasta la 4.8.7 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
Los usuarios afectados por esta vulnerabilidad deben asegurarse de actualizar el plugin EAN for WooCommerce a la versión 4.9.3 o superior para corregir este problema de seguridad. Además, se recomienda a los administradores del sitio restringir los permisos de los usuarios para reducir el riesgo de que un atacante pueda aprovechar esta vulnerabilidad. También es importante educar a los usuarios sobre la importancia de no hacer clic en enlaces sospechosos o proporcionar información confidencial en sitios web no confiables.
Es fundamental que los usuarios y administradores de sitios web estén al tanto de las vulnerabilidades en los plugins y temas de WordPress y tomen medidas proactivas para proteger sus sitios de posibles ataques. Mantenerse actualizado con las últimas versiones de software y seguir las mejores prácticas de seguridad puede ayudar a prevenir incidentes de seguridad como el descrito en este informe.