El plugin RSS Feed Widget para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode rfw-youtube-videos en todas las versiones hasta la 2.9.9 debido a una insuficiente sanitización de entrada y escapado de salida en atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, la versión 2.9.10. Además, se recomienda evitar el uso de atributos no sanitizados en los shortcodes y realizar una revisión exhaustiva de la configuración de seguridad del sitio WordPress.
Es fundamental que los usuarios de WordPress mantengan sus plugins actualizados y sigan las mejores prácticas de seguridad para proteger sus sitios de posibles ataques como el Cross-Site Scripting almacenado en RSS Feed Widget.