{"id":2906,"date":"2024-02-14T21:45:45","date_gmt":"2024-02-14T21:45:45","guid":{"rendered":"http:\/\/127.0.0.1\/pb-oembed-html5-audio-2-6-cross-site-scripting-almacenada-autenticada-contributor-a-traves-de-shortcode\/"},"modified":"2024-02-14T21:45:45","modified_gmt":"2024-02-14T21:45:45","slug":"pb-oembed-html5-audio-2-6-cross-site-scripting-almacenada-autenticada-contributor-a-traves-de-shortcode","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/pb-oembed-html5-audio-2-6-cross-site-scripting-almacenada-autenticada-contributor-a-traves-de-shortcode\/","title":{"rendered":"PB oEmbed HTML5 Audio <= 2.6 – Cross-Site Scripting almacenada autenticada (Contributor+) a trav\u00e9s de shortcode"},"content":{"rendered":"
<\/p>\n
La vulnerabilidad se encuentra en los shortcodes del plugin, los cuales no realizan una adecuada sanitizaci\u00f3n de la entrada y escape de salida de los atributos suministrados por el usuario, lo que facilita la inyecci\u00f3n de scripts web.<\/p>\n
Como soluci\u00f3n a este problema, se recomienda actualizar el plugin a la versi\u00f3n m\u00e1s reciente disponible. Adem\u00e1s, se debe revisar y sanitizar cuidadosamente cualquier atributo suministrado por los usuarios antes de utilizarlo en los shortcodes.<\/p>\n
Es importante destacar que esta vulnerabilidad solo afecta a los usuarios autenticados con permisos de contribuidor o superiores. Los usuarios normales no son afectados.<\/p><\/div>\n
En este reporte de seguridad hablaremos sobre la vulnerabilidad en el plugin PB oEmbed HTML5 Audio – with Cache Support para WordPress. La vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en p\u00e1ginas afectadas, lo que puede llevar a la ejecuci\u00f3n de c\u00f3digo malicioso en los sistemas de […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[619],"class_list":["post-2906","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2024-25098"],"yoast_head":"\n