El plugin Announce from the Dashboard para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, 1.5.2 debido a una insuficiente sanitización de la entrada y escape de la salida.
Esto permite que atacantes autenticados, con permisos de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se ha deshabilitado unfiltered_html.
Para mitigar este problema, se recomienda a los usuarios actualizar a la última versión del plugin Announce from the Dashboard, en este caso la versión 1.5.3, la cual incluye las correcciones necesarias para evitar esta vulnerabilidad.