Hoy os hablaré de otro Cross-site scripting que he descubierto dentro del plugin «Pinterest Badge» versión 1.8.0.
El fallo de seguridad se encuentra en el parámetro «uid» en el archivo»/wp-content/plugins/pinterest-badge/pinterestbadgedetails.php» que como se puede comprobar en la siguiente captura carece de los mecanismos necesarios para evitar la inyección de código.
Efectivamente el código malicioso se ejecuta sin problemas. 
En esta captura se muestra el código dentro del cuerpo HTML.
- Publicación en Packetstormsecurity:
https://packetstormsecurity.com/files/145432/WordPress-Pinterest-Badge-1.8.0-Cross-Site-Scripting.html
