El plugin de Shortcodes y características adicionales para el tema Phlox en WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘aux_gmaps’ en todas las versiones hasta, e incluyendo, la 2.15.5 debido a una insuficiente sanitización de entradas y escape de salida en atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como sea posible para mitigar este riesgo de seguridad. También se recomienda a los administradores que limiten el acceso de los roles de usuario a funciones que no son necesarias para reducir el riesgo de explotación.