El plugin WP-WebAuthn para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode wwa_login_form en todas las versiones hasta, e incluyendo, la 1.3.1 debido a la insuficiente sanitización de la entrada y escape de la salida en atributos proporcionados por el usuario.
Esto permite que atacantes autenticados, con acceso de nivel contribuyente y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar este problema, se recomienda a los usuarios actualizar el plugin WP-WebAuthn a la última versión disponible y tener precaución al permitir a contribuyentes y usuarios de niveles superiores utilizar el shortcode wwa_login_form.