El complemento Email Reminders para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘id’ en todas las versiones hasta, e incluyendo, la 2.0.4 debido a una sanitización insuficiente de la entrada y escape de la salida.
Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario accede a una página inyectada. Para mitigar este problema, se recomienda a los usuarios actualizar el complemento a la última versión disponible, en este caso, a la versión 2.0.5. Además, se sugiere no proporcionar accesos de Contributor o nivel superior a usuarios no confiables para reducir el riesgo de explotación.
Es crucial mantener actualizados todos los complementos de WordPress para evitar vulnerabilidades conocidas y proteger la seguridad del sitio web y de los datos de los usuarios.