El plugin WPC Smart Quick View for WooCommerce para WordPress es vulnerable a XSS almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, 4.0.2 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con permisos de nivel administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida. Esto solo afecta a instalaciones multi-sitio y a instalaciones donde se ha deshabilitado unfiltered_html.
La vulnerabilidad CVE-2023-6494 en el plugin WPC Smart Quick View for WooCommerce permite a un atacante almacenar scripts maliciosos en la configuración de administrador, lo que resulta en la ejecución de XSS cada vez que un usuario visita una página comprometida. Para subsanar este problema, se recomienda a los usuarios que actualicen a la última versión del plugin, ya que el desarrollador ha lanzado una corrección para esta vulnerabilidad. Además, se aconseja a los administradores de sitios web que implementen medidas de seguridad adicionales, como la limitación de los permisos de los usuarios autenticados y la monitorización constante de posibles actividades sospechosas.
Es fundamental que los propietarios de sitios web que utilizan el plugin WPC Smart Quick View for WooCommerce actualicen a la última versión disponible para evitar posibles ataques de XSS almacenado. Mantenerse al día con las actualizaciones de seguridad y seguir buenas prácticas de seguridad puede ayudar a proteger los sitios de posibles vulnerabilidades y ataques.