El plugin WordPress Survey & Poll – Quiz, Survey and Poll Plugin for WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘wpsurveypoll_results’ en todas las versiones hasta, e incluyendo, la 1.7.5 debido a una sanitización insuficiente de la entrada y falta de escape en la salida de atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad en el plugin WordPress Survey & Poll – Quiz, Survey and Poll Plugin for WordPress hasta la versión 1.7.5 deben actualizar a la última versión disponible lo antes posible. Además, se recomienda a los administradores de sitios web realizar una revisión de seguridad en busca de páginas comprometidas y desinfectarlas si es necesario. Como medida preventiva, se debe limitar el acceso de los contribuidores y otros roles de usuario a la inyección de código en las páginas.
Es fundamental mantener todos los plugins de WordPress actualizados para prevenir vulnerabilidades de seguridad. La sanitización adecuada de las entradas de los usuarios y el escape de la salida de datos son prácticas recomendadas para evitar ataques de Cross-Site Scripting como el descrito en este reporte de seguridad.