El plugin TCBD Popover para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘tcbd-popover-image’ en todas las versiones hasta, e incluyendo, la 1.2 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario.
Esto permite que atacantes autenticados, con acceso a nivel de contribuidor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin TCBD Popover a la última versión disponible y revisar y validar cualquier entrada de usuario para evitar la ejecución de scripts maliciosos en sus sitios web.