En este informe se detalla una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Responsive FlipBook para WordPress, que afecta a las versiones hasta la 2.5.0. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso de Suscriptor o superior inyectar scripts web maliciosos en páginas que se ejecutarán al ser accedidas por un usuario.
La vulnerabilidad se encuentra en la función rfbwp_save_settings(), la cual no realiza una adecuada sanitización de la entrada de datos ni un escapado de la salida. Esto significa que un atacante puede enviar código JavaScript malicioso a través de la configuración del plugin y luego ejecutarlo en cualquier página donde se muestre el FlipBook. Esto representa un grave riesgo de seguridad, ya que los usuarios podrían ser redirigidos a páginas falsas, robar información confidencial o incluso descargar malware en sus dispositivos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Responsive FlipBook a la última versión disponible que corrija este problema. Además, se aconseja a los administradores de sitios web aplicar buenas prácticas de seguridad, como limitar el acceso de los roles de usuario y realizar regularmente auditorías de seguridad en sus instalaciones de WordPress.