El plugin WP Radio – Directorio de Estaciones de Radio Online en Todo el Mundo para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración del plugin en todas las versiones hasta, e incluyendo, la 3.1.9 debido a una sanitización insuficiente de la entrada y un escape insuficiente de la salida, así como un control de acceso insuficiente en la configuración.
Esto permite a atacantes autenticados, con acceso de suscriptor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en la que se hayan corregido estas vulnerabilidades. Además, se debe revisar y limitar los permisos de los usuarios con acceso al plugin, evitando otorgar permisos de suscriptor o superior a usuarios no confiables.
Es fundamental mantener actualizados los plugins en WordPress y limitar los permisos de los usuarios para reducir el riesgo de explotación de vulnerabilidades como la encontrada en WP Radio. La seguridad en WordPress es responsabilidad de todos los usuarios, por lo que es importante seguir las mejores prácticas de seguridad en todo momento.