Плагин DukaPress WordPress до версии 3.2.4 не очищает и не экранирует параметр перед его выводом обратно на страницу, что приводит к отраженному межсайтовому сценарию, который может использоваться против пользователей с высокими привилегиями, таких как администратор.
Показать оригинальное описание (EN)
The DukaPress WordPress plugin through 3.2.4 does not sanitise and escape a parameter before outputting it back in the page, leading to a Reflected Cross-Site Scripting which could be used against high privilege users such as admin.