El plugin WP show more para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode show_more del plugin en todas las versiones hasta, e incluyendo, 1.0.7 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada.
Es esencial que los usuarios de WP show more actualicen a la última versión disponible, en este caso, a la versión 1.0.8, que corrige esta vulnerabilidad. Además, se recomienda no confiar ciegamente en el contenido generado por usuarios, especialmente en entornos de administración de WordPress.