El plugin WP Shortcodes Plugin – Shortcodes Ultimate para WordPress es vulnerable a XSS almacenado a través del shortcode su_lightbox del plugin en todas las versiones hasta la 7.1.6 debido a una insuficiente sanitización de la entrada y escapado de la salida en los atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con nivel de acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso a la versión 7.1.7 o posterior, para mitigar esta vulnerabilidad de XSS almacenada. Además, se insta a los usuarios a ser cautelosos al permitir a otros usuarios contribuir contenido en el sitio y a implementar medidas adicionales de seguridad, como la validación de entrada de datos y el monitoreo regular de posibles actividades maliciosas.