El plugin Shariff Wrapper para WordPress es vulnerable a XSS almacenado a través del shortcode ‘shariff’ en todas las versiones hasta la 4.6.9 debido a una insuficiente sanitización de entradas y escape de salida en atributos proporcionados por usuarios como ‘info_text’. Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada y haga clic en el ícono de información.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Shariff Wrapper a la última versión disponible (mayor a la 4.6.9). Además, se aconseja a los administradores web realizar una revisión de seguridad en busca de posibles inyecciones de script almacenadas en páginas que utilicen el shortcode ‘shariff’ y restringir los permisos de los usuarios para limitar la posibilidad de explotación.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para evitar posibles vulnerabilidades de seguridad. En el caso específico de Shariff Wrapper <= 4.6.9, la actualización a la última versión es crucial para protegerse de ataques de XSS almacenado por usuarios autenticados con permisos elevados en el sitio.