El plugin Easy Demo Importer – A Modern One-Click Demo Import Solution para WordPress es vulnerable a XSS almacenada a través de la carga de archivos SVG en todas las versiones hasta la 1.1.2, lo que permite a atacantes autenticados inyectar scripts web arbitrarios en las páginas.
La vulnerabilidad CVE-2024-9071 en el plugin Easy Demo Importer se debe a una insuficiente sanitización de entrada y escapado de salida. Esto significa que los atacantes autenticados con permisos de autor y superiores pueden enviar scripts maliciosos que se ejecutarán cada vez que un usuario acceda al archivo SVG.
Para protegerse contra este tipo de ataque, se recomienda a los usuarios actualizar el plugin Easy Demo Importer a la última versión disponible y ser cuidadosos al permitir la carga de archivos SVG en sus sitios web WordPress.