El plugin Advanced iFrame para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode advanced_iframe del plugin en todas las versiones hasta, e incluyendo, la 2024.1 debido a que el plugin permite a los usuarios incluir archivos JS de fuentes externas a través del atributo additional_js. Esto permite a atacantes autenticados con permisos de nivel contribuidor y superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Una solución recomendada para mitigar esta vulnerabilidad es deshabilitar el plugin Advanced iFrame de manera temporal hasta que el desarrollador lance una actualización que aborde el problema de seguridad. Además, se aconseja a los usuarios mantener sus plugins y temas de WordPress actualizados regularmente para reducir el riesgo de explotación de vulnerabilidades conocidas.
Es fundamental que los usuarios de WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen medidas proactivas para proteger sus sitios web. Mantenerse informado sobre las actualizaciones de seguridad y seguir las buenas prácticas de seguridad puede ayudar a prevenir posibles ataques.