Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin FV Flowplayer Video Player de WordPress, que permitiría a un atacante realizar ataques del tipo Cross-Site Scripting (XSS) a través del sitio web afectado.
La vulnerabilidad identificada como CVE-2023-4520, de severidad “Media” y con puntuación asignada de 5.4. Esta vulnerabilidad del tipo Cross-site Scripting (XSS) almacenado se debe a una falla en la validación de datos de entrada del usuario en el parámetro _fv_player_user_video utilizado en la función save del proceso de inicialización del plugin FV Flowplayer Video Player de WordPress. Esto permitiría a un atacante no autenticado a través de solicitudes HTTP especialmente diseñadas, realizar inyección y ejecución de código JavaScript en el navegador de la víctima al acceder al sitio web afectado. Las versiones afectadas son:
- Plugin FV Flowplayer Video Player de WordPress, versión 7.5.37.7212 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por WordPress en el siguiente enlace:
Referencias:
- https://patchstack.com/database/vulnerability/fv-wordpress-flowplayer/wordpress-fv-flowplayer-video-player-plugin-7-5-37-7212-insufficient-input-validation-to-unauthenticated-stored-cross-site-scripting-and-arbitrary-usermeta-update-vulnerability
- https://nvd.nist.gov/vuln/detail/CVE-2023-4520
- https://wordpress.org/plugins/fv-wordpress-flowplayer/#developers