El plugin One Page Express Companion para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode one_page_express_contact_form en todas las versiones hasta, e incluyendo, 1.6.37 debido a la insuficiente sanitización de entrada y escape de salida en atributos suministrados por usuario.
Esto permite a atacantes autenticados, con acceso a nivel de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
Se recomienda a los usuarios actualizar a la última versión del plugin para mitigar este riesgo de seguridad. Además, se aconseja verificar y limpiar cuidadosamente cualquier entrada de usuario antes de mostrarla en el sitio web para evitar este tipo de vulnerabilidades en el futuro.