El plugin WordSurvey para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘sounding_title’ en todas las versiones hasta, e incluyendo, la 3.2 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel administrador, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones de varios sitios e instalaciones donde se ha desactivado unfiltered_html.
Los usuarios que utilicen el plugin WordSurvey en versiones anteriores a la 3.2 deben tomar medidas inmediatas para proteger sus sitios. Recomendamos actualizar el plugin a la última versión disponible lo antes posible para corregir esta vulnerabilidad. Además, se recomienda a los administradores de sitios web realizar una revisión de seguridad completa para detectar posibles scripts maliciosos inyectados.
Es crucial que los propietarios de sitios web WordPress estén al tanto de las vulnerabilidades en plugins como WordSurvey y tomen medidas proactivas para proteger sus sitios. Al mantener todos los plugins actualizados y realizando auditorías de seguridad periódicas, se puede reducir significativamente el riesgo de exposición a ataques de Cross-Site Scripting y mantener la integridad de los sitios web.