El plugin WPZOOM Portfolio Lite – Filterable Portfolio Plugin para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado a través del atributo ‘align’ dentro del bloque ‘wp:wpzoom-blocks’ de Gutenberg en versiones hasta la 1.4.4, permitiendo a atacantes autenticados inyectar scripts web maliciosos en páginas.
La vulnerabilidad se debe a una insuficiente sanitización de entrada y escapado de salida en el plugin, lo que facilita a usuarios con acceso de nivel Contributor o superior la ejecución de scripts web arbitrarios en páginas. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso la 1.4.5, la cual incluye correcciones de seguridad para esta vulnerabilidad. Además, se sugiere a los administradores de sitios WordPress implementar medidas de seguridad adicionales, como utilizar complementos de seguridad y realizar auditorías regulares de plugins instalados.
Es crucial que los usuarios sean proactivos en la protección de sus sitios WordPress, manteniendo sus plugins actualizados y adoptando buenas prácticas de seguridad para prevenir futuras vulnerabilidades como la explotada en el plugin WPZOOM Portfolio Lite. La colaboración entre la comunidad de seguridad y los desarrolladores de plugins es esencial para garantizar la seguridad de todos los sitios WordPress.