JavaScriptファイルはフラッシュベースのXSS脆弱性をどのように表すことができますか？

Question

私は静的なWebサイト（PHPなど、HTML/JavaScript/CSSのみ））をホストし、脆弱性のあるファイルを積極的に削除するセキュリティ意識の高いホスティングサービスを利用しています。これで問題ありません。

ただし、最後のレポートでは、さまざまなファイルを使用して、次の問題の多くの例が示されています。

... Sicherheitslücke vom Typ "XSS" in WordPress /home/..../website/mediaelement-4.2.9/lang/uk.js ...

次の説明で：

MediaElementのFlashフォールバックファイルのXSS脆弱性

WordPressに含まれていたライブラリであるMediaElementのFlashフォールバックファイルにXSSの脆弱性が発見されました。 Flashファイルはほとんどのユースケースで必要なくなったため、WordPressから削除されました。

私の質問は、JavaScriptファイルがフラッシュフォールバックファイルにXSSの脆弱性をどのように引き起こす可能性があるのですか？

注：これはフォームプロセッサではなくメディアプレーヤーです

注2：WordPressの言及は別の問題です。これはWordPressインストールではないためですが、これはここで質問の一部です。

Rob W · Accepted Answer

Flashアプリケーションは、埋め込まれているページのコンテキストでJavaScriptコードを実行できます。Flashオブジェクトは、外部入力（例： URLまたはフラッシュパラメータを介して、またはJavaScriptを介してスクリプトAPIを介して。

同時に、脆弱なswfファイルを使用して、swfファイルをホストするサイトでXSSを実行できます。たとえば、を参照してくださいhttps://Gist.github.com/cure53/df34ea68c26441f3ae98f821ba1feb9c

あなたのエラーメッセージに基づいて、特定の脆弱性がこのレポートによって開示されたと思います： https://hackerone.com/reports/299112 （現在、詳細の表示が制限されています）。レポートによると、バグは4か月前に報告されました。正確な詳細を知りたい場合は、過去4か月の変更をで検索できます。https：//github.com/mediaelement/mediaelement