El plugin WIP WooCarousel Lite para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘wip_woocarousel_products_carousel’ en todas las versiones hasta, e incluyendo, la 1.1.6 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de contribuidor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin WIP WooCarousel Lite a la última versión disponible, actualmente la versión 1.1.7, donde se han implementado las correcciones necesarias para mitigar este riesgo de seguridad. Además, se recomienda a los administradores de sitios web que revisen y limiten el acceso de los roles de usuario, evitando otorgar permisos de contribuidor y niveles superiores a usuarios no confiables.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para protegerse contra vulnerabilidades conocidas y mitigar posibles riesgos de seguridad. La buena práctica de limitar los privilegios de usuario también juega un papel clave en la prevención de ataques de este tipo.