El complemento EmbedPress – Embed PDF, YouTube, Google Docs, Vimeo, Wistia Videos, Audios, Maps y cualquier documento en Gutenberg & Elementor para WordPress es vulnerable a ataques de Cross-Site Scripting almacenado a través del enlace del widget de Google Calendar. Esta vulnerabilidad afecta a todas las versiones hasta la 3.9.8 y permite a atacantes autenticados con permisos de nivel contribuyente o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página afectada.
La vulnerabilidad se debe a la falta de sanitización de la entrada y escape de la salida de los atributos suministrados por los usuarios. Esto permite a los atacantes inyectar código malicioso en los enlaces del widget de Google Calendar y ejecutar scripts en las páginas afectadas. Para aprovechar esta vulnerabilidad, el atacante debe tener al menos permisos de nivel contribuyente y estar autenticado en el sitio.
Para subsanar este problema, es recomendable actualizar el complemento EmbedPress a la última versión disponible. Los desarrolladores del complemento han solucionado esta vulnerabilidad en versiones posteriores a la 3.9.8.
Además, se recomienda implementar buenas prácticas de seguridad en WordPress, como limitar los permisos de los usuarios y utilizar plugins de seguridad que ayuden a detectar y prevenir ataques de este tipo. Es importante también mantener siempre actualizados todos los plugins y temas instalados en el sitio.
La vulnerabilidad de Cross-Site Scripting almacenado en el complemento EmbedPress <= 3.9.8 a través del enlace del widget de Google Calendar puede permitir a atacantes autenticados inyectar scripts maliciosos en páginas del sitio. La solución más efectiva es actualizar el complemento a la última versión disponible y seguir buenas prácticas de seguridad en WordPress. Mantener todos los plugins y temas actualizados es clave para proteger el sitio contra posibles vulnerabilidades.