El plugin Schema & Structured Data for WP & AMP para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado a través del esquema personalizado en todas las versiones hasta, e incluyendo, la 1.26 debido a una insuficiente sanitización de entrada y escape de salida de datos.
Esto permite a atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario accede a la página infectada. Aunque de forma predeterminada se requiere un nivel de autenticación de administrador, los administradores tienen la capacidad de asignar acceso basado en roles a usuarios tan bajos como suscriptores para explotar esta vulnerabilidad. Para mitigar este riesgo, se recomienda actualizar el plugin a la última versión disponible y revisar el código personalizado utilizado en los esquemas para asegurarse de que no contenga vulnerabilidades de XSS.
Es fundamental estar al tanto de las actualizaciones de seguridad y parches proporcionados por los desarrolladores del plugin, así como practicar buenas medidas de seguridad al crear y utilizar esquemas personalizados. La vigilancia constante y la atención a las vulnerabilidades conocidas ayudarán a proteger tu sitio WordPress de posibles ataques de Cross-Site Scripting.