El plugin Forms for Mailchimp by Optin Cat – Grow Your MailChimp List para WordPress es vulnerable a un Cross-Site Scripting almacenado a través de los parámetros de color de los formularios en todas las versiones hasta, e incluyendo, la 2.5.6. Esto se debe a una insuficiente sanitización de la entrada y escape de la salida, lo que permite a atacantes autenticados, con acceso de nivel de editor, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario accede a una página inyectada. Esto solo afecta a instalaciones multi-sitio y a instalaciones donde se ha deshabilitado unfiltered_html.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Forms for Mailchimp by Optin Cat a la última versión disponible. Además, se debe tener cuidado al otorgar privilegios de editor a usuarios, limitando el acceso solo a personas de confianza. Asimismo, se sugiere no deshabilitar la función unfiltered_html a menos que sea estrictamente necesario, ya que puede aumentar el riesgo de ataques de Cross-Site Scripting.
Es fundamental mantener todos los plugins de WordPress actualizados y adoptar buenas prácticas de seguridad, como limitar los privilegios de usuario y no deshabilitar funciones de seguridad importantes, para protegerse contra posibles vulnerabilidades como esta de Cross-Site Scripting.