El plugin Email Subscription Popup para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode print_email_subscribe_form en todas las versiones hasta, e incluyendo, 1.2.22 debido a la insuficiente sanitización de entradas y escapado de salida en atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel contribuyente y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán siempre que un usuario acceda a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como sea posible y limitar el acceso de los contribuyentes y roles superiores para reducir el riesgo de ataque.