El plugin Embed PDF Viewer para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los parámetros ‘altura’ y ‘ancho’ en todas las versiones hasta, e incluyendo, 2.4.4 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Embed PDF Viewer <= 2.4.4 puede ser aprovechada por atacantes autenticados con privilegios de Contribuidor o superiores para ejecutar código JavaScript malicioso en las páginas generadas por el plugin. Para mitigar este riesgo, se recomienda actualizar el plugin a la última versión disponible, en este caso, la versión 2.4.5 que corrige esta vulnerabilidad. Además, se aconseja a los usuarios evitar mostrar archivos PDF en páginas donde se puedan manipular las dimensiones de visualización, como las opciones de altura y ancho.
Es fundamental para la seguridad de un sitio web WordPress mantener todos los plugins y temas actualizados para protegerse contra posibles vulnerabilidades conocidas. Al ser conscientes de estas vulnerabilidades y tomar medidas proactivas para mitigar los riesgos, los usuarios pueden contribuir a mantener sus sitios seguros y protegidos contra ataques de Cross-Site Scripting y otros tipos de amenazas.