El plugin Simple Shortcode for Google Maps para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode pw_map del plugin en todas las versiones hasta, e incluyendo, 1.5.4 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible y evitar la inclusión de scripts no confiables en los atributos del shortcode pw_map.