El plugin de Glofox Shortcodes para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los shortcodes ‘glofox’ y ‘glofox_lead_capture’ en todas las versiones hasta, e incluyendo, la 2.6 debido a una sanitización insuficiente de la entrada y escapado de la salida en atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a dicha página.
Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del plugin Glofox Shortcodes tan pronto como esté disponible y a revisar y limitar los permisos de los usuarios con acceso al sitio web para reducir el riesgo de posibles ataques de este tipo.