La vulnerabilidad de Cross-Site Scripting almacenado a través de la carga de archivos SVG en el plugin Fonto – Gestor de Fuentes Web Personalizadas para WordPress en todas las versiones hasta, e incluyendo, la 1.2.1, pone en riesgo la seguridad del sitio. Esto se debe a una insuficiente sanitización de entradas y escape de salidas, lo que permite que atacantes autenticados con nivel de Autor y superior inyecten scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda al archivo SVG.
Es fundamental que los usuarios de este plugin actualicen a la versión más reciente disponible de Fonto – Custom Web Fonts Manager para mitigar este riesgo de seguridad. Además, se recomienda llevar a cabo una revisión exhaustiva de la configuración de permisos de los usuarios en WordPress para limitar las capacidades de aquellos con nivel de Autor o superior. Asimismo, es importante validar y filtrar correctamente las entradas de archivos SVG para evitar la ejecución de scripts maliciosos.
El Cross-Site Scripting almacenado a través de la carga de archivos SVG es una vulnerabilidad seria que puede ser aprovechada por atacantes para comprometer la seguridad de un sitio web. Siguiendo las recomendaciones mencionadas, los usuarios pueden reducir significativamente el riesgo de explotación y proteger la integridad de su sitio WordPress.