El plugin FancyBox for WordPress para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administrador en las versiones 3.0.2 a 3.3.3 debido a una insuficiente sanitización de la entrada y escapado de la salida.
Esto permite a atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multinivel e instalaciones donde se ha deshabilitado unfiltered_html.
Para mitigar este problema, se recomienda a los usuarios actualizar el plugin FancyBox for WordPress a la última versión disponible y habilitar las opciones de seguridad recomendadas en la configuración del plugin para prevenir futuros ataques de cross-site scripting almacenado.