El plugin myCred – Puntos de fidelidad y recompensas para WordPress y WooCommerce es vulnerable a XSS almacenado a través del shortcode mycred_send en todas las versiones hasta, e incluyendo, la 2.7.5.2. Esto se debe a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario.
La vulnerabilidad de XSS almacenado en el plugin myCred permite a atacantes autenticados con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a esa página. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso a la versión 2.7.5.3 que proporciona una corrección para esta vulnerabilidad. Además, es importante no confiar únicamente en la seguridad de plugins y mantener una constante supervisión de posibles vulnerabilidades en estos.
Es crucial que los administradores de sitios web que utilizan el plugin myCred – Puntos de fidelidad y recompensas estén al tanto de esta vulnerabilidad de XSS almacenado y tomen medidas inmediatas para actualizar el plugin a la última versión disponible para proteger sus sitios y usuarios de posibles ataques.