El plugin no escapa el parámetro backup_timestamp y job_id antes de generar y volver a las páginas de administración, lo que genera problemas de Reflected Cross-Site Scripting.
Plugin:
Severidad de la vulnerabilidad:
Alta
Estado:
Corregido en la última actualización 1.16.59
Prueba de Concepto:
https://example.com/wp-admin/options-general.php?page=updraftplus&backup_timestamp=%3Cscript%3Ealert%28/XSS/%29%3B%3C%2Fscript%3E&action=updraft_restore