El plugin WP Category Dropdown para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘align’ en todas las versiones hasta, e incluyendo, la 1.8 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión del plugin tan pronto como sea posible. Además, se recomienda implementar filtros de entrada personalizados para los usuarios de nivel Contributor y superiores, y evitar el uso del parámetro ‘align’ en llamadas al plugin WP Category Dropdown.
Es crucial para la seguridad de tu sitio web de WordPress mantener todos los plugins actualizados y seguir las mejores prácticas de seguridad para prevenir ataques de Cross-Site Scripting almacenado en tu sitio.