The plugin does not sanitize and escape some of its settings allowing high privilege users to perform Cross-Site Scripting attacks even when the unfiltered_html capability is disallowed
Put the following payload in one of the plugin’s settings: "> Affected files: * seur\core\pages\setting-options\user-settings.php The following fields are not escaped properly in the settings page: seur_nif_field, seur_empresa_field, seur_vianombre_field, seur_vianumero_field, seur_escalera_field, seur_piso_field, seur_puerta_field, seur_postal_field, seur_poblacion_field, seur_provincia_field, seur_telefono_field, seur_email_field, seur_contacto_nombre_field, seur_contacto_apellidos_field, seur_cit_codigo_field, seur_cit_usuario_field, seur_cit_contra_field, seur_ccc_field, seur_int_ccc_field, seur_franquicia_field, seur_seurcom_usuario_field, seur_seurcom_contra_field, seur_google_maps_api_field, seur_id_mercancia_field, seur_descripcion_field