El plugin Image Map Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la función ‘save_project’ con un shortcode arbitrario en versiones hasta, e incluyendo, la 6.0.20 debido a una sanitización insuficiente de la entrada y falta de escape en las atributos proporcionados por los usuarios.
Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Se recomienda a los usuarios actualizar a la última versión del plugin para mitigar esta vulnerabilidad, así como no confiar en la entrada de usuarios sin validarla adecuadamente para evitar ataques de Cross-Site Scripting.