El plugin Custom Dash para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración del administrador en todas las versiones hasta, e incluyendo, la 1.0.2 debido a una insuficiente sanitización de entrada y escapado de salida.
Esto permite a atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Este problema solo afecta a instalaciones de múltiples sitios y a instalaciones donde unfiltered_html ha sido deshabilitado.
Para mitigar este problema, se recomienda a los usuarios actualizar el plugin Custom Dash a la última versión disponible y habilitar la restricción de capacidades adecuadas para reducir el riesgo de ataques de Cross-Site Scripting almacenado.