Recopilación de vulnerabilidades WordPress.

Vulnerabilidad de Scripting entre Sitios Almacenada en PDF for WPForms + Drag and Drop Template Builder <= 4.6.0

El plugin PDF for WPForms + Drag and Drop Template Builder para WordPress es vulnerable a Scripting entre Sitios Almacenada a través del shortcode yeepdf_dotab del plugin en todas las versiones hasta, e incluyendo, la 4.6.0 debido a una insuficiente sanitización de entrada y escapado de salida en atributos proporcionados por el usuario.

Esto permite a atacantes autenticados, con acceso de nivel contribuyente y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible y evitar el uso de plugins de terceros de fuentes no confiables para reducir el riesgo de ataques de scripting entre sitios almacenados.

Related Article