El plugin All-in-One Video Gallery para WordPress es vulnerable a XSS almacenado a través del shortcode de video en todas las versiones hasta, e incluyendo, la 3.7.1 debido a una sanitización insuficiente de la entrada y a una escapada insuficiente de la salida en los atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Como medida de protección, se recomienda a los usuarios actualizar el plugin a la última versión disponible y revisar y sanear cualquier contenido generado por usuarios que utilice el shortcode de video.
Es fundamental mantener actualizados los plugins de WordPress y realizar una adecuada sanitización de la entrada de usuarios para prevenir vulnerabilidades de XSS almacenado en sitios web WordPress.