El plugin Custom Fonts – Host Your Fonts Locally para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos svg en todas las versiones hasta, e incluyendo, la 2.1.4 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite que atacantes autenticados, con nivel de autor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Una forma de mitigar este problema es asegurarse de que el plugin esté actualizado a la última versión disponible, en este caso, a partir de la versión 2.1.5 que corrige esta vulnerabilidad. Además, se recomienda a los usuarios restringir el acceso de los roles de autor y superiores a la carga de archivos svg para evitar posibles inyecciones de scripts maliciosos.
Es importante tomar medidas proactivas para proteger tu sitio web de potenciales amenazas de seguridad como la explotación de vulnerabilidades a través de plugins. Mantener los plugins actualizados y restringir los permisos de carga de archivos pueden ayudar a reducir el riesgo de ataques como el Cross-Site Scripting almacenado identificado en el plugin Custom Fonts – Host Your Fonts Locally.