La vulnerabilidad CVE-2024-8917 afecta al plugin AnWP Football Leagues para WordPress, permitiendo a usuarios autenticados con nivel de acceso Autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG subido.
La versión 0.16.7 y anteriores del plugin AnWP Football Leagues para WordPress son vulnerables a un tipo específico de Cross-Site Scripting (XSS) almacenada. Esto se debe a una sanitización insuficiente de la entrada y escape de la salida, lo que abre la puerta a posibles ataques por parte de usuarios malintencionados. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como sea posible. Además, se puede restringir el acceso a la carga de archivos SVG solo a roles de usuario de confianza, como Administrador, para limitar la exposición a esta vulnerabilidad.
Es crucial tomar medidas proactivas para proteger la seguridad de tu sitio web. Al mantener tus plugins de WordPress actualizados y restringir los permisos de carga de archivos a usuarios confiables, puedes reducir significativamente el riesgo de ser víctima de ataques de Cross-Site Scripting almacenados como el explotado en AnWP Football Leagues <= 0.16.7.