El plugin Visual Composer Website Builder, Landing Page Builder, Custom Theme Builder, Maintenance Mode & Coming Soon Pages para WordPress es vulnerable a XSS almacenado a través de los campos personalizados del plugin en todas las versiones hasta la 45.6.0 debido a la insuficiente sanitización de entradas y escape de salida en atributos proporcionados por el usuario.
Esto permite a atacantes autenticados con permisos de colaborador y superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Se recomienda a los usuarios actualizar a la última versión del plugin y evitar la inserción de contenido no validado en los campos personalizados para prevenir posibles ataques de XSS almacenado.