El plugin BMLT Tabbed Map para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘bmlt_tabbed_map’ en todas las versiones hasta, e incluyendo, la 1.1.8 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página afectada.
Los usuarios afectados por esta vulnerabilidad deberían actualizar el plugin BMLT Tabbed Map a la versión más reciente disponible, en este caso, 1.1.9. Además, se recomienda a los usuarios restringir el acceso del plugin solo a roles de usuario de confianza, como administradores. En términos de mitigación, se sugiere implementar una política de seguridad sólida que incluya la revisión regular de plugins y temas instalados en WordPress para detectar posibles vulnerabilidades.
Es fundamental que los administradores de sitios web de WordPress estén al tanto de las vulnerabilidades en plugins y temas utilizados en sus sitios, y tomen medidas proactivas para proteger sus sitios y usuarios. La actualización regular de plugins y temas, junto con la implementación de prácticas de seguridad recomendadas, puede ayudar a prevenir ataques de Cross-Site Scripting y otras amenazas de seguridad.