La vulnerabilidad CVE-2024-6256 afecta al plugin Feeds for YouTube (YouTube video, channel, and gallery plugin) para WordPress, permitiendo a atacantes autenticados insertar scripts maliciosos en páginas del sitio web.
La vulnerabilidad de Cross-Site Scripting almacenado en Feeds for YouTube está presente en todas las versiones anteriores a la 2.2.1. Esto se debe a una sanitización insuficiente de la entrada y a una falta de escapado de la salida en los atributos proporcionados por los usuarios. Como resultado, los atacantes autenticados con nivel de contribuidor o superior pueden inyectar scripts web arbitrarios en páginas, los cuales se ejecutarán cada vez que un usuario acceda a dicha página.
Para protegerse de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Feeds for YouTube a la última versión disponible y verificar la validez de los datos ingresados en los atributos del shortcode ‘youtube-feed’. Además, se sugiere mantener la seguridad del sitio WordPress mediante la implementación de prácticas de seguridad como la limitación de acceso a roles de usuario con privilegios mínimos y la monitorización constante de posibles actividades maliciosas.