El plugin de WordPress WPBakery Visual Composer es vulnerable a XSS almacenado a través del atributo tag del título de la publicación en todas las versiones hasta, e incluyendo, la 7.5 debido a una sanitización insuficiente de la entrada y escape insuficiente de la salida.
Esto permite que atacantes autenticados, con acceso de contribuidor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Se recomienda a los usuarios actualizar a la última versión del plugin inmediatamente para mitigar este riesgo de seguridad. Además, se sugiere revisar las publicaciones existentes para buscar y eliminar cualquier script malicioso inyectado en los títulos de las publicaciones.
Mantener el software actualizado y estar atento a posibles inyecciones de script malicioso en las entradas de WordPress es fundamental para protegerse contra ataques de XSS almacenado en el plugin WPBakery Visual Composer.