El plugin HLS Player para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘hls_player’ en todas las versiones hasta, e incluyendo, la 1.0.10 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Una solución para mitigar este problema es actualizar el plugin HLS Player a la última versión disponible, en la cual se han implementado medidas de seguridad para prevenir estas vulnerabilidades. Además, se recomienda a los administradores de sitios web WordPress restringir el acceso de contribuidores y roles superiores a plugins que permitan la inserción de código para reducir el riesgo de explotación.
Es fundamental tomar medidas proactivas para proteger los sitios web WordPress de posibles ataques de Cross-Site Scripting, como mantener todos los plugins y temas actualizados, implementar medidas de seguridad adicionales y restringir los permisos de los roles de usuario para limitar el impacto de vulnerabilidades como la descrita en el plugin HLS Player.