El plugin WP Crowdfunding para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode wpcf_donate en todas las versiones hasta, e incluyendo, la 2.1.11 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario.
Esto permite que atacantes autenticados, con acceso de nivel contribuyente y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin WP Crowdfunding a la última versión disponible y además, se deben mantener todas las extensiones y temas actualizados regularmente para evitar posibles brechas de seguridad.