El plugin XPlainer – WooCommerce Product FAQ [WooCommerce Accordion FAQ Plugin] hasta la versión 1.6.4 presenta una vulnerabilidad de autorización faltante que permite a atacantes autenticados almacenar scripts maliciosos que se ejecutarán al visualizar plantillas de tablero o acceder a preguntas frecuentes.
El plugin XPlainer – WooCommerce Product FAQ [WooCommerce Accordion FAQ Plugin] para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función ‘ffw_activate_template’ en todas las versiones hasta, e incluyendo, la 1.6.4. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, almacenen scripts de cross-site scripting que se activarán al visualizar las plantillas de tablero o al acceder a las preguntas frecuentes.
Es importante que los usuarios actualicen el plugin XPlainer – WooCommerce Product FAQ a la última versión disponible para mitigar este riesgo de seguridad. Además, se recomienda limitar el acceso de los roles de usuarios a funciones sensibles para evitar este tipo de vulnerabilidades en el futuro.