El plugin prettyPhoto de WordPress para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘url’ en todas las versiones hasta, e incluyendo, 1.2.3 debido a una insuficiente sanitización de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con nivel de acceso de Contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad pueden mitigar el riesgo manteniendo el plugin actualizado a la última versión disponible, en este caso, la versión 1.2.4 que incluye una corrección para este problema. Además, se recomienda revisar y restringir los permisos de los usuarios en el sitio de WordPress, limitando el acceso de los Contribuidores y roles superiores para reducir el impacto de posibles ataques de Cross-Site Scripting.
Es fundamental mantener siempre actualizados los plugins de WordPress y realizar un seguimiento de las vulnerabilidades conocidas para proteger de forma proactiva los sitios web contra posibles ataques. La implementación de buenas prácticas de seguridad, como la gestión adecuada de permisos de usuario, es igualmente importante para reducir el riesgo de explotación de vulnerabilidades como la reportada en el plugin prettyPhoto.