Recopilación de vulnerabilidades WordPress.

Gestor de Menús Fácil | WPZest <= 1.0.1 – Cross-Site Scripting Almacenado Autenticado (Autor+) a través de la Subida de Archivos SVG

La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Easy Menu Manager | WPZest para WordPress en todas las versiones hasta la 1.0.1 permite a atacantes autenticados inyectar scripts web arbitrarios en las páginas a las que los usuarios acceden al archivo SVG.

La falta de saneamiento de entrada y la falta de escape de salida en el plugin Easy Menu Manager | WPZest <= 1.0.1 permiten a atacantes autenticados, con acceso de Autor y superior, cargar archivos SVG maliciosos que contengan scripts para ejecutarse en el navegador de los usuarios. Para evitar esta vulnerabilidad, se recomienda a los usuarios actualizar a la versión más reciente del plugin, la 1.0.2, que corrige este problema de seguridad. Además, se aconseja a los usuarios tener cuidado al cargar archivos SVG y validar siempre la entrada de datos en WordPress para prevenir inyecciones de código malicioso.
Es fundamental que los usuarios de Easy Menu Manager | WPZest actualicen a la última versión disponible (1.0.2) y sigan buenas prácticas de seguridad al trabajar con archivos SVG y otros tipos de archivos que puedan ser susceptibles a ataques de Cross-Site Scripting almacenado.

Related Article