El plugin Skyword API para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘skyword_iframe’ en todas las versiones hasta, e incluyendo, la 2.5.2 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad en el plugin Skyword API para WordPress deben actualizar a la última versión disponible lo antes posible para proteger sus sitios de posibles ataques. Además, se recomienda restringir el acceso de los usuarios con roles de contribuidor y superiores para reducir el riesgo de explotación.
Es crucial mantener todos los plugins y temas de WordPress actualizados regularmente para evitar vulnerabilidades conocidas como la que afecta al plugin Skyword API. La seguridad debe ser una prioridad constante para evitar posibles intrusiones y proteger la integridad del sitio web.