El plugin WP Total Branding – Solución completa de marca para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 1.2 debido a la sanitización insuficiente de la entrada y la escape de la salida.
Esto permite a atacantes autenticados, con permisos de nivel de administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones de múltiples sitios e instalaciones donde se haya deshabilitado unfiltered_html. Los usuarios deben actualizar a la última versión del plugin tan pronto como sea posible. Además, se recomienda restringir el acceso de administrador solo a usuarios de confianza y supervisar de cerca las configuraciones y cambios realizados en el plugin.
Es crucial que los administradores de sitios de WordPress tomen medidas inmediatas para proteger sus sitios de posibles ataques de Cross-Site Scripting almacenado utilizando el plugin WP Total Branding <= 1.2. Mantener el software actualizado y seguir buenas prácticas de seguridad puede ayudar a mitigar estos riesgos.