Llamarme noob... pero yo no estoy de acuerdo

En ese trozo, no veo XSS...

Tiene 4 parámetros GET, type, product_id, from, y slug.

El primero, hace 2 comparaciones, no hay problema.
El segundo, se lo pasa a generate_cart_id, que lo que hace es generar un md5 de los parametros que le pases,

Y from y slug entran a WP_Query, que segun la documentación, wp lo "sanea".. otra cosa seria si fueran consultas de bbdd directas, pero al ser una funcion de "alto nivel" no hace falta sanear, ya lo hace wp por ti.

¿Que tendrá un problema de XSS? Es posible, pero no en ese trozo. O almenos, yo no lo veo