La vulnerabilidad conocida como CVE-2024-13393 afecta al plugin Video Share VOD – Turnkey Video Site Builder Script para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas del sitio.
El plugin Video Share VOD – Turnkey Video Site Builder Script para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘videowhisper_videos’ en todas las versiones hasta la 2.6.31 debido a una sanitización insuficiente de la entrada y escape de salida en los atributos suministrados por el usuario. Esto permite que atacantes autenticados con acceso de contribuidor o superior inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar el riesgo de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Video Share VOD – Turnkey Video Site Builder Script a la versión más reciente disponible y evitar otorgar privilegios de contribuidor u superior a usuarios no confiables. Además, se aconseja revisar regularmente las páginas del sitio en busca de contenido inusual que pueda ser indicativo de una explotación exitosa de la vulnerabilidad.