El plugin Loggedin – Limit Active Logins para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin el escape adecuado en la URL en todas las versiones hasta, e incluyendo, 1.3.1.
Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. Esta vulnerabilidad solo es explotable cuando el aviso de dejar una reseña está presente.
Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del plugin Loggedin – Limit Active Logins y mantenerse al tanto de las actualizaciones de seguridad para proteger sus sitios WordPress de posibles ataques de Cross-Site Scripting.