La vulnerabilidad en el plugin oik para WordPress permite a usuarios autenticados con permisos de contributor y superiores realizar ataques de Cross-Site Scripting almacenado a través de shortcodes como bw_contact_button y bw_button en todas las versiones hasta la 4.10.0.
La falta de saneamiento de entradas y escape de salidas de atributos proporcionados por el usuario en los shortcodes mencionados permite a atacantes inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin oik a la última versión disponible y revisar y sanear cuidadosamente cualquier contenido generado por los shortcodes bw_contact_button y bw_button para evitar posibles ataques de Cross-Site Scripting almacenado.