El plugin Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘tagName’ en versiones hasta, e incluyendo, 4.5.12 debido a una insuficiente sanitización de entrada y escape de salida.
Esto permite a atacantes autenticados, con permisos de contribuidor o superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso a la versión 4.5.13 o superior. Además, se aconseja a los administradores supervisar de cerca las actividades de los usuarios con privilegios de contribuidor y aplicar medidas de seguridad adicionales en la gestión de contenidos del sitio.
Es fundamental que los administradores de sitios WordPress mantengan sus plugins actualizados y sigan prácticas seguras de desarrollo y gestión de contenido para proteger sus sitios de vulnerabilidades conocidas, como en este caso de Cross-Site Scripting almacenado en Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates.