Vulnerabilidades en plugins: «Video Gallery» y «Video Carousel Slider» de WordPress

El plugin Video Gallery para WordPress es un software, amigable con el usuario, el cual ayuda a mejorar la reputación de su sitio cuando las personas buscan temas y videos relacionados, ya sea en Youtube, Vimeo, Wistia o en los motores de búsqueda en general.

Este plugin se ve afectado por la vulnerabilidad identificada como CVE-2023-2708 con un puntaje CVSS de 6.1, la cual es una falla de secuencias de comandos reflejadas entre sitios (Reflected Cross-Site Scripting) a través del parámetro ‘search_term’, debido a la validación insuficiente en la entrada y salida de datos.

Esto hace posible que los atacantes no autenticados inyecten secuencias de comandos web arbitrarias en las páginas que se ejecutan si pueden engañar con éxito a un usuario para que realice una acción, como hacer click en un enlace.

Productos afectados:

Video Gallery versión 1.0.10 e inferiores

Solución

Video Gallery versión 1.0.11

El plugin video carousel slider with lightbox es un control deslizante de carrusel de video receptivo con caja de luz receptiva para blogs y sitios de WordPress. Permite administrar cualquier cantidad de videos en el control deslizante de la galería. El administrador puede establecer el título del video en lightbox, agregar, editar y eliminar videos.

Este plugin se ve afectado por la vulnerabilidad identificada como CVE-2023-2710 con un puntaje CVSS de 6.1, la cual es una falla de secuencias de comandos reflejadas entre sitios (Reflected Cross-Site Scripting) a través del parámetro “search_term”, debido a la validación insuficiente en la entrada y salida de datos.

Productos afectados:

Video Carousel Slider with lightbox versiones 1.0.22 e inferiores

Solución

Video Carousel Slider with lightbox versión 1.0.23

Recomendaciones

Se recomienda a los usuarios de estos plugins implementar las actualizaciones de seguridad lo antes posible, para protegerse de las vulnerabilidades.

Referencias