El plugin Gutenberg Block Editor Toolkit – EditorsKit para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘editorskit’ en todas las versiones hasta, e incluyendo, la 1.40.4 debido a la insuficiente sanitización de entradas y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible para corregir el problema de seguridad. Además, se recomienda limitar el acceso de los colaboradores y roles superiores a la edición de contenido en el sitio web para reducir el riesgo de ataques de este tipo. Como medida preventiva adicional, se sugiere validar y escapar correctamente todas las entradas de usuario antes de ser procesadas y mostradas en la interfaz de WordPress.
Es fundamental tomar medidas proactivas para proteger la seguridad de un sitio web WordPress y sus usuarios. Mantener todos los plugins y temas actualizados, así como implementar buenas prácticas de seguridad, son pasos vitales para mitigar el riesgo de ataques de Cross-Site Scripting y otras amenazas cibernéticas.