La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Smart Custom 404 Error Page para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan. A través de $_SERVER[‘REQUEST_URI’], los atacantes pueden inyectar scripts maliciosos en las páginas, lo que puede dar lugar a ataques exitosos si los usuarios son engañados para realizar ciertas acciones.
La falta de neutralización adecuada de la entrada durante la generación de páginas web es lo que hace posible esta vulnerabilidad. El plugin Smart Custom 404 Error Page hasta la versión 11.4.7 carece de una sanitización de entrada y un escape de salida suficientes, lo que permite a los atacantes no autenticados lanzar ataques de XSS. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a una versión más reciente que contenga una corrección para esta vulnerabilidad. También se les aconseja no hacer clic en enlaces sospechosos y mantenerse alerta ante posibles intentos de phishing.
Es fundamental que los propietarios de sitios web que utilizan el plugin Smart Custom 404 Error Page estén al tanto de esta vulnerabilidad y tomen medidas inmediatas para proteger sus sitios. La actualización del plugin y la educación de los usuarios sobre prácticas seguras en línea son pasos clave para prevenir posibles ataques de XSS.