El plugin WordPress Header Builder – Pearl es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘stm_hb’ en todas las versiones hasta la 1.3.6 debido a una insuficiente sanitización de entrada y escapado de salida en atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario accede a la página inyectada.
Se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como sea posible y evitar utilizar plugins no actualizados o de fuentes no confiables para reducir el riesgo de exposición a vulnerabilidades de seguridad.