Vulnerabilidad en plugin fyyd podcast shortcodes para WordPress (CVE-2026-4084)

El plugin de shortcodes fyyd podcast para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los shortcodes 'fyyd-podcast', 'fyyd-episode' y 'fyyd' en todas las versiones hasta la 0.3.1, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes en atributos de shortcode proporcionados por el usuario, como 'color', 'podcast_id' y 'podcast_slug'. Estos atributos se concatenan directamente en JavaScript en línea dentro de argumentos de cadena entre comillas simples sin ningún escape o sanitización, lo que permite a un atacante salir del contexto de cadena de JavaScript. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.