Se ha descubierto una vulnerabilidad en el plugin Ultimate Addons for WPBakery que permite a atacantes autenticados realizar ataques de tipo Cross-Site Scripting a través de un shortcode. Esta vulnerabilidad afecta a las versiones hasta 3.19.20 del plugin.
El plugin Ultimate Addons for WPBakery es vulnerable a Cross-Site Scripting almacenado a través del shortcode ult_team en todas las versiones hasta 3.19.20 debido a una sanitización insuficiente de la entrada y la escapada de la salida en los atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de colaborador o superior, inyecten scripts web arbitrarios en las páginas que se ejecutarán cuando un usuario acceda a una página infectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Ultimate Addons for WPBakery a la última versión disponible. También es importante tener cuidado al permitir a los usuarios con roles de acceso superior la capacidad de agregar contenido con shortcodes para prevenir posibles ataques de Cross-Site Scripting.