La vulnerabilidad de Cross-Site Scripting almacenado en el plugin de Galería de imágenes por 10Web para WordPress hasta la versión 1.8.23 permite a atacantes autenticados inyectar scripts web arbitrarios que se ejecutarán cuando un usuario acceda a una página afectada.
La vulnerabilidad se produce debido a una insuficiente sanitización de la entrada y escape de la salida en el parámetro ‘svg’. Esto significa que los atacantes autenticados pueden manipular páginas web para ejecutar scripts maliciosos, lo que puede comprometer la seguridad de los usuarios. Aunque por defecto solo los administradores pueden explotar esta vulnerabilidad, en las versiones profesionales del plugin los contribuidores también pueden verse afectados. Para mitigar este riesgo, se recomienda actualizar a la última versión del plugin y evitar el uso de SVG comprimidos en la galería de imágenes.
Es fundamental que los usuarios tomen medidas para proteger sus sitios web de ataques de Cross-Site Scripting, como mantener todos los plugins y temas actualizados, limitar los privilegios de los usuarios y evitar el uso de contenido malicioso. Al estar al tanto de las vulnerabilidades conocidas y aplicar buenas prácticas de seguridad, se puede reducir significativamente el riesgo de compromiso de la página web.