Se ha identificado una vulnerabilidad en el plugin Follow Us Badges para WordPress que permite a atacantes autenticados realizar Cross-Site Scripting almacenado a través del shortcode wpsite_follow_us_badges en todas las versiones hasta la 3.1.10. Esta vulnerabilidad se debe a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por los usuarios. Esto permite a atacantes autenticados, con acceso de nivel contribuyente y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Follow Us Badges a la última versión disponible en el repositorio de WordPress. También se recomienda a los administradores del sitio restringir los permisos de los usuarios autenticados, limitando el acceso a roles de contribuyente y superiores solo a usuarios de confianza. Además, se sugiere la implementación de medidas de seguridad adicionales, como el uso de firewalls de aplicaciones web y la monitorización regular de la actividad del sitio en busca de comportamientos sospechosos.
Es fundamental mantener actualizados todos los plugins y temas de WordPress, así como seguir buenas prácticas de seguridad en la gestión de usuarios y permisos. Al tomar medidas proactivas para proteger un sitio web, se reducen significativamente las posibilidades de ser víctima de ataques de seguridad como el Cross-Site Scripting almacenado en el plugin Follow Us Badges.