En este reporte se analiza la vulnerabilidad de Cross-Site Scripting presente en el plugin HT Team Member, que puede ser explotada por atacantes autenticados con nivel de contribuidor o superior.
El plugin WP Team – WordPress Team Member Plugin en su versión 1.1.4 y anteriores es vulnerable a Cross-Site Scripting almacenado a través del shortcode htteamember del plugin, debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión del plugin HT Team Member lo antes posible para mitigar el riesgo de ataques de Cross-Site Scripting. Además, se recomienda a los administradores de sitios web WordPress mantener todos los plugins y temas actualizados regularmente para evitar explotaciones de vulnerabilidades conocidas.