CVE-2024-13156

Nome do Software Vulnerável e Versões Afetadas HTML5 Video Player – Plugin de Player de Vídeo mp4 e Plugin de Bloco para WordPress versões até, e incluindo, 2.5.35

Descrição O problema está relacionado a Cross-Site Scripting (XSS) Armazenado Baseado em DOM via o parâmetro heading devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível de Contribuidor ou superior injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada.

Recomendações Para versões até, e incluindo, 2.5.35, considere desativar o parâmetro heading até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso à funcionalidade do plugin para minimizar o risco de injeção de scripts web arbitrários. Atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escape de saída quando disponível.