El plugin Materialis Companion para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado a través del shortcode materialis_contact_form en todas las versiones hasta, e incluyendo, la 1.3.41 debido a una sanitización insuficiente de la entrada y escapado de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán siempre que un usuario acceda a una página inyectada.
Esta vulnerabilidad puede ser explotada por usuarios malintencionados con credenciales de contribuidor (Contributor) para ejecutar scripts maliciosos en páginas web dentro del sitio WordPress comprometido. Para mitigar este riesgo, se recomienda a los administradores de sitios web afectados actualizar el plugin Materialis Companion a la última versión disponible, en la cual se hayan corregido estas vulnerabilidades. Además, se aconseja a los administradores de WordPress restringir los roles de usuario y supervisar las actividades de los contribuidores para detectar posibles actividades maliciosas.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para protegerse contra vulnerabilidades conocidas y potenciales. Al implementar buenas prácticas de seguridad cibernética y mantener un monitoreo constante, se puede reducir significativamente el riesgo de ataques de Cross-Site Scripting y otras amenazas potenciales.