La vulnerabilidad CVE-2024-5205 permite a atacantes autenticados con nivel de acceso de contribuidor o superior inyectar scripts web arbitrarios en páginas que ejecutarán cuando un usuario acceda a la página comprometida.
El plugin Videojs HTML5 Player para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode videojs_video en todas las versiones hasta, e incluyendo, la 1.1.11 debido a una sanitización insuficiente de la entrada y falta de escapado de la salida en los atributos proporcionados por el usuario. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la versión más reciente, implementar filtros de entrada para limitar los caracteres permitidos en los atributos del shortcode, y educar a los colaboradores sobre los riesgos de la inyección de scripts.
Es crucial que los administradores de sitios web que utilizan el plugin Videojs HTML5 Player se mantengan al tanto de las actualizaciones de seguridad y tomen medidas proactivas para proteger sus sitios contra posibles ataques de Cross-Site Scripting almacenado.