El plugin WP To Do para WordPress es vulnerable a XSS almacenado a través de comentarios en todas las versiones hasta, e incluyendo, la 1.3.0 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite que atacantes autenticados, con permisos de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones multi-sitio e instalaciones donde se ha desactivado unfiltered_html.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin WP To Do a la versión más reciente lo antes posible para mitigar el riesgo de XSS almacenado. Además, se recomienda revisar y sanear todos los comentarios y tareas existentes en busca de posibles scripts maliciosos. También se sugiere limitar los permisos de administrador y evitar concederlos a usuarios no confiables para reducir la exposición a este tipo de ataques.
Es fundamental seguir las mejores prácticas de seguridad, como mantener todos los plugins y temas actualizados, realizar copias de seguridad de forma regular y mantener un estricto control de accesos a cuentas con privilegios de administrador para protegerse de vulnerabilidades como esta de XSS almacenado en el plugin WP To Do.