El plugin Video Gallery – Best WordPress YouTube Gallery para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 2.4.1 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se haya deshabilitado unfiltered_html.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente el plugin Video Gallery a la última versión disponible, en este caso la 2.4.2, que ha solucionado este problema de seguridad. Además, se recomienda a los administradores de sitios web realizar una revisión exhaustiva de los permisos de usuario asignados, limitando el acceso de administrador solo a personal de confianza. Asimismo, es importante implementar medidas de seguridad adicionales como firewalls de aplicaciones web (WAF) para ayudar a prevenir futuros ataques de este tipo.
Es crucial que los sitios web afectados por esta vulnerabilidad actúen de inmediato para mitigar el riesgo de ser comprometidos por atacantes malintencionados. Mantener el software actualizado y restringir los privilegios de usuario son pasos fundamentales para proteger la integridad de un sitio web.