Une vulnérabilité de cross-site scripting (XSS) authentifiée et persistante a été découverte dans le plugin de conformité CookieYes GDPR Cookie Consent & Compliance Notice de Wordpress.

Le problème est lié à l'utilisation non sécurisée de la fonction extract(),dans le module shortcodes de PHP. Cette fonction a été abandonnée dans le dernier correctif afin d’éliminer cette vulnérabilité.

Les utilisateurs du plugin doivent le mettre à jour afin de se protéger de cette vulnérabilité.

De plus, les chercheurs avertissent les développeurs de ne pas "utiliser extract() sur des données non fiables, comme les entrées de l'utilisateur (par exemple $_GET, $_FILES)", ainsi que les normes de codage de WordPress, qui déconseillent l'utilisation de la fonction.