Vulnerabilidad en plugin Text Toggle para WordPress (CVE-2026-3997)

El plugin Text Toggle para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del atributo 'title' del shortcode de los shortcodes [tt_part] y [tt] en todas las versiones hasta la 1.1 inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes en los atributos de shortcode proporcionados por el usuario. Específicamente, en la función avp_texttoggle_part_shortcode(), el atributo 'title' se extrae de los atributos del shortcode y se concatena directamente en la salida HTML sin ningún escape — tanto dentro de un contexto de atributo HTML (title="...") en la línea 116 como en el contenido HTML en la línea 119. Mientras que el atributo 'class' se valida correctamente usando ctype_alnum(), el atributo 'title' no tiene ninguna sanitización en absoluto. Un atacante puede inyectar caracteres de comillas dobles para salir del atributo title e inyectar atributos HTML arbitrarios, incluidos los controladores de eventos. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.