El plugin Pocket News Generator para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administrador, como ‘Consumer Key’ y ‘Access Token’, en todas las versiones hasta 0.2.0. Esto se debe a una insuficiente sanitización de entradas y escape de salida.
Esto permite que atacantes autenticados, con permisos de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esta vulnerabilidad afecta solo a instalaciones multi-sitio y a instalaciones donde se ha deshabilitado unfiltered_html.
Para mitigar este riesgo de seguridad, se recomienda a los usuarios actualizar el plugin Pocket News Generator a la última versión disponible. Además, se deben seguir buenas prácticas de seguridad, como limitar los permisos de los usuarios y realizar una sanitización adecuada de las entradas del sitio web.