El plugin AnnounceKit para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, 2.0.9 debido a una insuficiente sanitización de entrada y escape de salida.
Esto permite que atacantes autenticados, con permisos de nivel administrador o superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde unfiltered_html ha sido deshabilitado.
Se recomienda a los usuarios actualizar a la última versión del plugin AnnounceKit y, además, implementar prácticas de seguridad como no otorgar permisos de administrador a usuarios no confiables y realizar auditorías de seguridad regulares en sus sitios web para prevenir ataques de este tipo.