El plugin Favorites para WordPress es vulnerable a Cross-Site Scripting Stored a través del shortcode ‘user_favorites’ en todas las versiones hasta la 2.3.3 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario como ‘no_favorites’. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Favorites a la versión 2.3.4 o superior para protegerse contra posibles ataques de Cross-Site Scripting. Además, se recomienda a los administradores del sitio que controlen de cerca las actualizaciones de seguridad de los plugins y realicen auditorías regulares de seguridad para identificar y remediar posibles problemas de seguridad en sus instalaciones de WordPress.
La vulnerabilidad de Cross-Site Scripting Stored en el plugin Favorites resalta la importancia de mantener actualizados los plugins y realizar un buen manejo de la seguridad en WordPress para prevenir posibles ataques. Con medidas proactivas y buenas prácticas de seguridad, los usuarios pueden proteger sus sitios web de vulnerabilidades conocidas y potenciales amenazas.