La vulnerabilidad conocida como ‘Cross-Site Scripting’ (XSS) en el plugin WPC Composite Products para WooCommerce en versiones hasta la 7.2.7 permite a atacantes autenticados inyectar scripts maliciosos en páginas del sitio web.
El plugin WPC Composite Products para WooCommerce es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘wooco_components[0][name]’ en todas las versiones hasta la 7.2.7 debido a la insuficiente sanitización de entradas y escape de salidas, y la falta de autorización en la función ‘ajax_save_components’. Esto permite a atacantes autenticados, con acceso de nivel suscriptor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página infectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, a la versión 7.2.8 o superior. Además, se insta a los administradores de sitios web a restringir el acceso a los roles de usuario en función de las necesidades y a realizar una revisión exhaustiva de los plugins instalados en busca de posibles vulnerabilidades de seguridad.