El plugin Essential Real Estate para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘ere_property_map’ en todas las versiones hasta, e incluyendo, la 4.4.2 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página afectada.
Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del plugin Essential Real Estate tan pronto como esté disponible. Además, se debe evitar proporcionar acceso de contributor o superior a usuarios no confiables o desconocidos. Como medida adicional, se sugiere a los administradores del sitio implementar una política de seguridad que incluya la revisión regular de los plugins instalados en busca de vulnerabilidades conocidas.
Es fundamental que los usuarios de Essential Real Estate estén al tanto de esta vulnerabilidad de Cross-Site Scripting y tomen medidas proactivas para proteger sus sitios web. Al seguir las recomendaciones de seguridad mencionadas, se puede reducir significativamente el riesgo de explotación y mantener la integridad de los sitios basados en WordPress.