El plugin SMS Alert Order Notifications – WooCommerce para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode sa_subscribe en todas las versiones hasta la 3.7.5 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Se recomienda a los usuarios actualizar a la última versión del plugin y revisar regularmente la seguridad de sus plugins para evitar este tipo de vulnerabilidades.