El plugin The Post Grid – Shortcode, Gutenberg Blocks and Elementor Addon for Post Grid para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo de la etiqueta de título de la sección en todas las versiones hasta, e incluyendo, la 7.7.1.
Esto se debe a una insuficiente sanitización de entrada y escapado de salida en atributos proporcionados por el usuario, lo que permite a atacantes autenticados con permisos de nivel colaborador o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible y evitar otorgar permisos de colaborador o superior a usuarios no confiables. Además, se recomienda a los desarrolladores implementar una adecuada sanitización de entrada y escapado de salida en sus plugins para prevenir futuras vulnerabilidades de Cross-Site Scripting.