CVE-2021-24471

Versões do plugin YouTube Embed para WordPress anteriores à 5.2.2

O problema decorre da falha do plugin em validar, escapar ou sanitizar determinados atributos de shortcode, levando a vulnerabilidades do tipo Stored XSS. Isso pode ocorrer de várias maneiras, incluindo o uso de parâmetros específicos do shortcode do YouTube, como w, h, controls, cc lang, color, language, start, stop ou style, ou parâmetros do shortcode youtube thumb, como style, class, rel, target, width, height ou alt. Além disso, incorporar um vídeo com um título ou descrição contendo uma carga XSS também pode causar problemas se uma chave de API estiver configurada.

Para versões anteriores à 5.2.2, atualize para a versão 5.2.2 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de atributos de shortcode vulneráveis até que um patch esteja disponível. Restrinja o acesso aos shortcodes youtube e youtube thumb para minimizar o risco de exploração. Evite usar parâmetros como w, h, controls, cc lang, color, language, start, stop ou style no shortcode youtube, e style, class, rel, target, width, height ou alt no shortcode youtube thumb, até que o problema seja resolvido.