El plugin WP Video Lightbox para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘width’ en todas las versiones hasta, e incluyendo, la 1.9.10 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La falta de sanitización adecuada en el parámetro ‘width’ del plugin WP Video Lightbox permite a un atacante autenticado introducir código JavaScript malicioso que se ejecutará en el navegador de los usuarios que visiten la página afectada. Esto podría llevar a consecuencias graves, como el robo de credenciales de usuario o la manipulación del contenido del sitio web. Para protegerse contra esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible y mantenerlo siempre actualizado. Además, se debe restringir el acceso de contribuidores y roles superiores a usuarios de confianza y utilizar medidas de seguridad adicionales, como firewalls de aplicaciones web, para evitar futuros ataques de este tipo.
La vulnerabilidad de Cross-Site Scripting almacenado en WP Video Lightbox <= 1.9.10 resalta la importancia de mantener todos los plugins y temas de WordPress actualizados para evitar posibles brechas de seguridad. Al tomar medidas proactivas para protegerse contra este tipo de vulnerabilidades, los administradores de sitios web pueden reducir significativamente el riesgo de compromiso de la seguridad de su sitio.