El plugin EmbedPress – Embed PDF, YouTube, Google Docs, Vimeo, Wistia Videos, Audios, Maps & Any Documents in Gutenberg & Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la URL del Widget de PDF en todas las versiones hasta, e incluyendo, la 3.9.10.
La vulnerabilidad surge debido a una sanitización insuficiente de la entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados con permisos de nivel contribuyente y superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin EmbedPress y mantener todos los plugins de WordPress actualizados regularmente. Además, se debe restringir el acceso de contribuyentes y roles superiores para reducir el riesgo de explotación.