El plugin Paid Membership, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta, e incluyendo, la 4.15.1 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario.
Esto posibilita a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a esa página inyectada.
Para mitigar este riesgo, se recomienda actualizar el plugin ProfilePress a la versión más reciente y estar atento a futuras actualizaciones de seguridad. Además, se aconseja tener cuidado con los usuarios con permisos de contribuidor o superiores para reducir el impacto de posibles ataques de XSS almacenados.