El plugin jQuery T(-) Countdown Widget para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode tminus del plugin en todas las versiones hasta, e incluyendo, la 2.3.25 debido a una insuficiente sanitización de entrada y escape de salida en los atributos suministrados por los usuarios.
Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible y mantener sus instalaciones de WordPress y plugins siempre actualizadas para protegerse contra posibles ataques de Cross-Site Scripting.