El plugin WP Smart TV para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘tv-video-player’ en todas las versiones hasta, e incluyendo, la 2.1.8 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por usuarios. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por este problema deben actualizar a la última versión del plugin WP Smart TV lo antes posible para mitigar el riesgo de ser víctimas de ataques de Cross-Site Scripting. Además, se recomienda a los administradores del sitio educar a los usuarios con roles de contribuidor y superior sobre las mejores prácticas de seguridad y cómo evitar la ejecución de scripts maliciosos en el sitio.
Es crucial que los usuarios y administradores de sitios web estén al tanto de las vulnerabilidades en los plugins de WordPress y tomen medidas proactivas para proteger sus sitios de posibles ataques. Mantener todos los plugins y temas actualizados, así como realizar copias de seguridad regulares y monitorear de cerca la actividad del sitio, son pasos esenciales para mantener la seguridad de un sitio WordPress.