Vulnerabilidad en plugin Simple Draft List para WordPress (CVE-2026-4006)

El plugin Simple Draft List para WordPress es vulnerable a cross-site scripting almacenado a través del metadato de publicación 'display_name' (Campo Personalizado) en todas las versiones hasta la 2.6.2 inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes en el nombre de visualización del autor cuando no hay una URL de autor presente. El plugin accede a `$draft_data->display_name` lo cual, debido a que `display_name` no es una propiedad nativa de WP_Post, activa WP_Post::__get() y se resuelve a `get_post_meta($post_id, 'display_name', true)`. Cuando el campo meta `user_url` está vacío, el valor de `$author` se asigna a `$author_link` en la línea 383 sin ningún escape (a diferencia de la línea 378 que usa `esc_html()` para la etiqueta `{{author}}`, y la línea 381 que usa `esc_html()` cuando hay una URL presente). Este valor sin escape se inserta luego en la salida del shortcode a través de `str_replace()`. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página que contenga el shortcode `[drafts]` con la etiqueta de plantilla `{{author+link}}`.