El plugin wpbakery para WordPress es vulnerable a XSS almacenado a través del atributo onclick de los botones en todas las versiones hasta, e incluyendo, la 7.5 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin wpbakery a la última versión disponible, en este caso, la versión 7.6. Además, se recomienda a los administradores del sitio implementar un firewall de aplicaciones web (WAF) para detectar y bloquear posibles ataques XSS. También es importante educar a los usuarios con privilegios de contribuidor o superior sobre las buenas prácticas de seguridad, como no hacer clic en enlaces sospechosos o descargar archivos desconocidos.
Es fundamental para la seguridad de un sitio web mantener todos los plugins y temas actualizados, así como educar a los usuarios sobre las posibles amenazas en línea. Al tomar medidas proactivas, se puede reducir significativamente el riesgo de explotación de vulnerabilidades como el XSS almacenado en WPBakery Visual Composer.