La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan.
La versión 5.0.9 y anteriores de este plugin son vulnerables a XSS almacenado a través del valor del título del bloque de Google Maps, debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel administrador, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a dicha página. Esta vulnerabilidad solo afecta a instalaciones multi-sitio y a instalaciones donde se ha desabilitado unfiltered_html.
Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin Essential Blocks a la última versión disponible y seguir las mejores prácticas de seguridad al momento de configurar permisos de usuario y mantener plugins actualizados en sus sitios WordPress.