El plugin Galería de Fotos por 10Web – Galería de Imágenes Adaptada para Móviles para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, 1.8.21 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso a nivel de administrador, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se ha deshabilitado unfiltered_html.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, 1.8.22, o superior. Además, se debe tener cuidado al permitir la carga de archivos SVG, y se recomienda restringir el acceso de nivel de administrador en caso de que sea posible para evitar que atacantes potenciales puedan explotar esta vulnerabilidad. Si se detecta actividad sospechosa en el sitio, se deben tomar medidas inmediatas para analizar y eliminar cualquier script malicioso inyectado.
Es crucial mantener todos los plugins y temas de WordPress actualizados para protegerse contra vulnerabilidades conocidas. La seguridad del sitio web es una responsabilidad compartida entre los desarrolladores de plugins, los propietarios de los sitios y los usuarios finales. Al tomar medidas proactivas para proteger la integridad de su sitio web, se puede reducir significativamente el riesgo de compromiso de seguridad y proteger la información sensible de los usuarios.