El plugin Contests by Rewards Fuel para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘RF_CONTEST’ en todas las versiones hasta 2.0.65 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel de contribuyente y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso a una versión superior a la 2.0.65, y mantener todos los plugins y temas de WordPress actualizados regularmente para mitigar riesgos de seguridad.