El plugin Gutenberg Blocks with AI by Kadence WP – Page Builder Features para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘titleFont’ en todas las versiones hasta, e incluyendo, la 3.2.38 debido a una insuficiente sanitización de entrada y escape de salida.
Esto permite a atacantes autenticados, con nivel de acceso de Contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible y validar y filtrar cuidadosamente cualquier entrada de datos que se refleje en la salida del sitio web.
Es fundamental para la seguridad de un sitio web de WordPress mantener todos los plugins y temas actualizados, así como implementar buenas prácticas de codificación para prevenir vulnerabilidades de seguridad como esta.