El plugin Front End Users para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘user-search’ en todas las versiones hasta, e incluyendo, la 3.2.28 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario.
Esto permite que atacantes autenticados, con acceso de nivel de contribuidor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin Front End Users y también se les insta a revisar y limpiar cualquier shortcode utilizado y validar los datos de entrada proporcionados por los usuarios antes de mostrarlos en las páginas del sitio web.