Recopilación de vulnerabilidades WordPress.

Reproductor de vídeo HTML5 – Plugin de reproductor de vídeo mp4 y Block <= 2.5.35 – Cross-Site Scripting DOM-Based almacenado autenticado (Contributor+) a través del parámetro de encabezado

El plugin HTML5 Video Player – mp4 Video Player Plugin and Block para WordPress es vulnerable a Cross-Site Scripting DOM-Based almacenado a través del parámetro ‘heading’ en todas las versiones hasta, e incluyendo, 2.5.35 debido a una insuficiente sanitización de entrada y escapado de salida.

Esto permite a atacantes autenticados, con acceso a nivel de Contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la versión más reciente disponible y estar atentos a futuras actualizaciones de seguridad. Además, se sugiere limitar el acceso de Contributor y superiores a usuarios de confianza para reducir el riesgo de explotación de esta vulnerabilidad.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para protegerse contra posibles vulnerabilidades de seguridad, como en este caso de Cross-Site Scripting DOM-Based almacenado en el plugin HTML5 Video Player – mp4 Video Player Plugin and Block.

Related Article