El complemento Formaloo Form Maker & Customer Analytics para WordPress & WooCommerce es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘address’ en todas las versiones hasta, e incluyendo, la 2.1.3.2 debido a una insuficiente sanitización de la entrada y escape de salida.
Esto permite a atacantes autenticados, con acceso de Nivel Contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán siempre que un usuario acceda a una página infectada.
Se recomienda a los usuarios actualizar a la última versión del complemento, en este caso la versión 2.1.3.3, que soluciona esta vulnerabilidad. Además, se recomienda mantener todos los complementos y temas actualizados, y ser cauteloso al otorgar privilegios de usuario en WordPress.