El plugin Fluent Forms para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenada en todas las versiones hasta la 5.1.9 debido a una insuficiente sanitización de entradas y escape de salidas. Esta vulnerabilidad permite a los atacantes insertar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a esa página inyectada.
La explotación de esta vulnerabilidad depende de quién tenga el derecho de crear formularios otorgado por un administrador. Este nivel puede ser tan bajo como un contribuidor, pero por defecto es el nivel de administrador. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la versión más reciente disponible y revisar y filtrar cuidadosamente cualquier entrada de datos que se muestre en las páginas generadas por este plugin.
Es fundamental que los usuarios de Fluent Forms actualicen su plugin a la última versión y adopten buenas prácticas de seguridad al manejar entradas de datos para evitar posibles ataques de Cross-Site Scripting (XSS) almacenada.