El plugin Master Slider – Responsive Touch Slider para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la funcionalidad de callback de las diapositivas en todas las versiones hasta, e incluyendo, la 3.9.5.
Esto permite a atacantes autenticados, con acceso de nivel editor, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde unfiltered_html ha sido desactivado.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Master Slider – Responsive Touch Slider a la última versión disponible lo antes posible. Además, se deben implementar medidas de seguridad adicionales, como restringir el acceso de los usuarios a funciones editoriales y deshabilitar unfiltered_html cuando no sea necesario.