El plugin WP ULike para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘wp_ulike’ en todas las versiones hasta, e incluyendo, la 4.6.9 debido a una insuficiente sanitización de entrada y escape de salida en el atributo ‘wrapper_class’ proporcionado por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión disponible del plugin WP ULike para evitar posibles ataques de Cross-Site Scripting. Además, se recomienda a los administradores del sitio que implementen filtros de seguridad adicionales y restrinjan el acceso a roles de usuario de nivel contribuidor y superior para reducir el riesgo de explotación de esta vulnerabilidad.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para protegerse contra posibles vulnerabilidades de seguridad. Al tomar medidas proactivas y mantenerse al día con las actualizaciones de seguridad, los usuarios pueden reducir significativamente el riesgo de compromiso de su sitio web.