El plugin Product Delivery Date for WooCommerce – Lite para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 2.7.3.
Esto permite a los atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. Esta vulnerabilidad solo es explotable cuando están presentes avisos.
Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible. Además, se debe mantener una política de seguridad sólida, como educar a los usuarios sobre la importancia de no hacer clic en enlaces sospechosos.