Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin One Click Upsell Funnel for WooCommerce que afecta a todas las versiones hasta la 3.4.9. Esta vulnerabilidad permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas del sitio afectado.
La vulnerabilidad se produce debido a una insuficiente sanitización de entradas y escape de salida en los atributos proporcionados por los usuarios al utilizar el shortcode wps_wocuf_pro_yes del plugin. Esto significa que un atacante podría aprovecharse de esto para ejecutar scripts arbitrarios en las páginas afectadas, comprometiendo la seguridad de los usuarios que visiten dichas páginas.
Se recomienda a los usuarios de One Click Upsell Funnel for WooCommerce actualizar a la versión más reciente disponible para mitigar este riesgo de seguridad. Además, se aconseja a los desarrolladores de plugins seguir buenas prácticas de codificación, como la sanitización adecuada de entradas y el escape de salida, para prevenir este tipo de vulnerabilidades en el futuro.