El plugin WP Shortcodes – Shortcodes Ultimate para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta la 7.1.2 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario accede a una página inyectada.
Se recomienda a los usuarios actualizar el plugin a la última versión disponible y evitar utilizar atributos no sanitizados en los shortcodes para prevenir ataques de Cross-Site Scripting.