Esta falha acontece já com o utilizador autenticado, e reside no Widget de Facebook, mais precisamente designado por Widget for Facebook Page Feeds.
É dos plugins mais populares, e esta falha é devida ao processamento inapropriado de segurança dos atributos dos atalhos.
Verificou-se deste modo que o plugin, mais especificamente a sua primeira linha de código, define os atributos de um atalho para a variável $defaults sem sanitizar o input, ficando assim definidos como atributos de uma tag HTML sem qualquer tipo de tratamento.
Fonte: https://www.securityweek.com/authenticated-xss-found-wordpress-plugin-facebook-widget