El plugin WP-Members Membership para WordPress es vulnerable a XSS almacenado a través del encabezado X-Forwarded-For en todas las versiones hasta, e incluyendo, la 3.4.9.2 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada, que en este caso es la página de edición de usuarios. Esta vulnerabilidad fue parcialmente parcheada en la versión 3.4.9.2, y totalmente parcheada en la 3.4.9.3.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente el plugin WP-Members Membership a la versión 3.4.9.3 o superior para mitigar el riesgo de XSS almacenado. Además, se recomienda revisar regularmente la seguridad de los plugins instalados en WordPress y mantenerlos actualizados en todo momento. Otra medida preventiva es restringir el acceso a la página de administración a usuarios autenticados solamente, limitando así la superficie de ataque.
Es fundamental que los administradores de sitios web estén al tanto de las vulnerabilidades en plugins de WordPress y tomen medidas proactivas para garantizar la seguridad de sus sitios. La rápida aplicación de parches y la adopción de buenas prácticas de seguridad son cruciales para protegerse contra ataques de XSS y otras amenazas en línea.