La plugin de WordPress GDPR es vulnerable a Cross-Site Scripting almacenado a través de los parámetros ‘gdpr_firstname’ y ‘gdpr_lastname’ en todas las versiones hasta, e incluyendo, la 2.0.2 debido a una sanitización insuficiente de la entrada y falta de escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
Para subsanar esta vulnerabilidad, los usuarios deben actualizar su plugin WordPress GDPR a la versión 2.0.3 o superior. Además, se recomienda a los usuarios no confiar únicamente en la sanización automática de entradas de usuario y revisar manualmente cualquier dato que se muestre en la página para evitar posibles ataques de Cross-Site Scripting almacenado.
Es fundamental para los usuarios de WordPress mantener sus plugins actualizados y tomar medidas de seguridad proactivas para proteger sus sitios web de vulnerabilidades conocidas. La prevención y la acción inmediata son clave para asegurar la integridad de su sitio y la protección de los datos de los usuarios.