El plugin Shoutcast Icecast HTML5 Radio Player para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘html5radio’ en todas las versiones hasta, e incluyendo, la 2.1.6 debido a una insuficiente sanitización de la entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
El problema radica en que el plugin no filtra adecuadamente la entrada de los usuarios, lo que permite a un atacante inyectar código malicioso en el sitio web afectado. Para mitigar esta vulnerabilidad, es recomendable actualizar el plugin a la última versión disponible que solucione este problema. Además, se sugiere restringir el acceso a usuarios no confiables y limitar los privilegios de usuario para reducir el impacto de posibles ataques.
Es fundamental que los usuarios de Shoutcast Icecast HTML5 Radio Player estén al tanto de esta vulnerabilidad y tomen medidas para proteger sus sitios web. Al mantener el plugin actualizado y seguir buenas prácticas de seguridad, como limitar los privilegios de usuario y validar la entrada del usuario, se puede reducir el riesgo de ser víctima de un ataque de Cross-Site Scripting Almacenado.