En este informe se detalla una vulnerabilidad de Cross-Site Scripting en el plugin Supreme Modules Lite – Divi Theme, Extra Theme and Divi Builder para WordPress. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso de Contribuidor o superior inyectar scripts web maliciosos en páginas del sitio afectado.
La vulnerabilidad de Cross-Site Scripting en el plugin Supreme Modules Lite – Divi Theme, Extra Theme and Divi Builder se debe a una insuficiente sanitización de entrada y escape de salida en el parámetro ‘button_one_id’. Esto permite que los atacantes autenticados manipulen este campo para inyectar scripts web maliciosos que se ejecutarán cuando un usuario acceda a la página comprometida. Se recomienda a los usuarios actualizar el plugin a la versión más reciente disponible (superior a la 2.5.51) para corregir esta vulnerabilidad. Además, se sugiere restringir los permisos de los usuarios para limitar el riesgo de ataques de este tipo.
La importancia de mantener todos los plugins y temas de WordPress actualizados no solo radica en obtener nuevas funcionalidades, sino también en protegerse contra vulnerabilidades conocidas. En el caso de la vulnerabilidad de Cross-Site Scripting en Supreme Modules Lite – Divi Theme, Extra Theme and Divi Builder, la actualización del plugin y la revisión de los permisos de los usuarios pueden ayudar a mitigar este riesgo.