El plugin Webico Slider Flatsome Addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode wbc_image del plugin en todas las versiones hasta, e incluyendo, la 2.0.1 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso a nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Esta vulnerabilidad puede ser explotada por contribuidores y roles superiores en un sitio web WordPress que tengan acceso al uso de este shortcode. Para mitigar este problema, se recomienda actualizar el plugin a la última versión disponible que contenga una solución para este problema de seguridad. Además, es importante seguir buenas prácticas de seguridad al trabajar con plugins de terceros y asegurarse de que solo usuarios confiables tengan roles de contribuidor o superior en el sitio.
Es crucial estar al tanto de las vulnerabilidades en los plugins de WordPress que se utilizan en un sitio web y tomar medidas proactivas para mantener la seguridad de la página. Al aplicar actualizaciones de seguridad y limitar los permisos de los usuarios, se puede reducir el riesgo de exposición a ataques de Cross-Site Scripting y otras amenazas.