El plugin EmbedPress – Embed PDF, Google Docs, Vimeo, Wistia, Embed YouTube Videos, Audios, Maps & Embed Any Documents en WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo ’embedpress_pro_twitch_theme’ en todas las versiones hasta, e incluyendo, la 3.9.12 debido a la insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de contribuidor y superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios de EmbedPress actualizar a la versión 3.9.13 o posterior, ya que el desarrollador ha implementado una corrección para la vulnerabilidad de Cross-Site Scripting almacenado en el widget. Además, se aconseja a los administradores de sitios web que limiten los permisos de los usuarios autenticados para reducir el riesgo de que un atacante pueda explotar esta vulnerabilidad.
Es crucial que se tomen medidas para proteger los sitios web de ataques de Cross-Site Scripting como el mencionado en este informe de seguridad. Mantener los plugins y themes actualizados, así como implementar políticas de seguridad estrictas, puede ayudar a prevenir este tipo de vulnerabilidades y proteger la integridad de los sitios web WordPress.