El plugin Product Customizer Light para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la subida de archivos SVG en todas las versiones hasta, e incluyendo, la 1.0.0 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
El problema radica en que el plugin no filtra adecuadamente el contenido subido a través de archivos SVG, permitiendo a un atacante inyectar código malicioso en las páginas del sitio. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, la cual debería incluir parches de seguridad para corregir esta vulnerabilidad. Asimismo, se sugiere limitar el acceso de los roles de usuario en WordPress para reducir la superficie de ataque.
Es crucial para los administradores de sitios WordPress mantener sus plugins actualizados y revisar regularmente las vulnerabilidades conocidas. La seguridad debe ser una prioridad para evitar que los usuarios malintencionados aprovechen vulnerabilidades como el Cross-Site Scripting almacenado en Product Customizer Light <= 1.0.0.