La vulnerabilidad en el plugin Aqua SVG Sprite para WordPress permite a atacantes autenticados (con nivel de Autor o superior) inyectar scripts web arbitrarios en páginas a través de la carga de archivos SVG.
La vulnerabilidad CVE-2024-9426, catalogada como una Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’), se presenta en el plugin Aqua SVG Sprite hasta la versión 3.0.14. Esto se debe a una insuficiente sanitización de la entrada de datos y escapa de la salida. Como solución, se recomienda a los usuarios actualizar el plugin a la última versión disponible y verificar la seguridad de los archivos SVG que se cargan en el sitio web.
Es fundamental tomar medidas para proteger los sitios web de posibles ataques, como en este caso de Cross-Site Scripting almacenado a través de archivos SVG en el plugin Aqua SVG Sprite. Mantener todos los plugins y temas actualizados, así como realizar una revisión constante de la seguridad, son prácticas recomendadas para reducir el riesgo de compromiso de la página.