El plugin WP eCards para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘ecard’ en todas las versiones hasta la 1.3.904. Esto se debe a una insuficiente sanitización de la entrada y escape de la salida en los atributos proporcionados por los usuarios. Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
La falta de sanitización adecuada de la entrada de usuario en el plugin WP eCards permite a un atacante autenticado realizar un ataque de Cross-Site Scripting almacenado, lo que puede conducir a la ejecución de scripts web maliciosos en el navegador de otros usuarios. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible y revisar cualquier inserción de scripts en las páginas generadas por el plugin.
Es fundamental que los usuarios de WP eCards actualicen a la última versión del plugin lo antes posible y estén atentos a cualquier contenido inusual o sospechoso que pueda haber sido insertado en sus páginas debido a esta vulnerabilidad de Cross-Site Scripting almacenado.