En el plugin Sheet to Table Live Sync for Google Sheet para WordPress se ha encontrado una vulnerabilidad de Cross-Site Scripting almacenado a través del shortcode STWT_Sheet_Table del plugin en todas las versiones hasta, e incluyendo, la 1.0.1. Esta vulnerabilidad se debe a una insuficiente sanitización de la entrada y escape de la salida en los atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso la versión 1.0.2, que corrige este problema de seguridad. Además, es importante validar y escapar adecuadamente cualquier entrada de usuario antes de mostrarla en la página para prevenir ataques de Cross-Site Scripting.
Es crucial que los administradores de sitios WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen medidas proactivas para mantener sus sitios seguros. Mantener todos los plugins y temas actualizados, así como implementar buenas prácticas de seguridad, puede ayudar a prevenir este tipo de ataques.