El plugin Taskbuilder – WordPress Project & Task Management para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode wppm_tasks en todas las versiones hasta, e incluyendo, la 3.0.6 debido a la insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, insertar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Se recomienda a los usuarios actualizar de inmediato a la última versión del plugin Taskbuilder – WordPress Project & Task Management para evitar posibles ataques de Cross-Site Scripting almacenado. Además, se sugiere a los usuarios ser cuidadosos al permitir a los contribuidores y usuarios con permisos superiores insertar contenido en el sitio web.