El plugin Profile Box Shortcode And Widget para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 1.2.0 debido a una sanitización insuficiente de la entrada y escape de la salida.
Esto permite que atacantes autenticados, con permisos de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a esa página. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se ha deshabilitado unfiltered_html.
Se recomienda a los usuarios de este plugin actualizar a la última versión disponible lo antes posible para mitigar este riesgo de seguridad. Además, se debe restringir el acceso a usuarios no confiables con privilegios de administrador para reducir aún más la posibilidad de explotación.