La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Trackserver para WordPress permite a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web maliciosos en páginas del sitio.
Trackserver plugin para WordPress es vulnerable a Cross-Site Scripting almacenado a través del código abreviado ‘tsmap’ en todas las versiones hasta, e incluyendo, la versión 5.0.2 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por usuarios. Esto permite a los atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Trackserver a la última versión disponible, en este caso, la versión 5.0.3 o posterior. Además, se insta a los administradores a supervisar de cerca las actualizaciones de seguridad y practicar una buena higiene de seguridad en WordPress, como restringir los permisos de los usuarios para limitar el potencial daño de un atacante que logre comprometer una cuenta con privilegios de contribuidor o superior.