El plugin Custom CSS, JS & PHP para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg & remove_query_arg sin el escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 2.3.0.
Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible y mantenerse al tanto de las actualizaciones de seguridad para proteger sus sitios de posibles ataques de Cross-Site Scripting.