El plugin Video Share VOD – Script de construcción de sitios de video para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘videowhisper_player_html’ en todas las versiones hasta, e incluyendo, la 2.6.30 debido a una sanitización insuficiente de la entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuyente y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-12449 en el plugin Video Share VOD – Script de construcción de sitios de video afecta a los sitios de WordPress que lo utilizan, poniéndolos en riesgo de ataques de Cross-Site Scripting almacenados. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible que contenga un parche de seguridad. Además, se sugiere a los usuarios no conceder más privilegios de los necesarios a los colaboradores y mantener un monitoreo constante de posibles actividades sospechosas en el sitio web.
Es crucial que los administradores de sitios web que utilizan el plugin Video Share VOD – Script de construcción de sitios de video estén al tanto de esta vulnerabilidad y tomen medidas proactivas para proteger sus sitios. Al seguir las recomendaciones de actualización y limitar los privilegios de los usuarios, se puede reducir significativamente la probabilidad de ser víctima de un ataque de Cross-Site Scripting almacenado.