Vulnerabilidad en plugin Paypal Shortcode para WordPress (CVE-2026-3617)

El plugin Paypal Shortcode para WordPress es vulnerable a cross-site scripting almacenado a través de los atributos de shortcode 'amount' y 'name' en todas las versiones hasta la 0.3, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes en los atributos de shortcode proporcionados por el usuario. La función swer_paypal_shortcode() extrae los atributos de shortcode usando extract() y shortcode_atts() en la línea 89, luego concatena directamente los valores $name y $amount en los atributos de valor de los elementos de entrada HTML en las líneas 105-106 sin aplicar esc_attr() ni ninguna otra función de escape. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.