Плагин Cookie Notice & Compliance for GDPR / CCPA для WordPress уязвим для сохранения межсайтового скриптинга через параметр ‘cookie_notice_options[refuse_code_head]’ в версиях до 2.4.17.1 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с правами администратора и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к внедренной странице /wp-admin/admin.php?page=cookie-notice. Это затрагивает только многосайтовые установки и установки, в которых unfiltered_html был отключен.