El plugin Kata Plus – Addons for Elementor – Widgets, Extensions and Templates para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.4.7 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
Para subsanar este problema, se recomienda actualizar el plugin a la última versión disponible que solucione esta vulnerabilidad. Además, se aconseja a los usuarios no cargar archivos SVG desde fuentes no confiables y validar cualquier entrada de usuario correctamente para evitar la ejecución de scripts maliciosos en el sitio web.
Es crucial que los usuarios tengan en cuenta las medidas de seguridad al momento de seleccionar e instalar plugins en WordPress, así como ser conscientes de las vulnerabilidades potenciales que podrían comprometer la seguridad de sus sitios. Mantenerse informado y actualizar regularmente las extensiones instaladas son buenas prácticas para prevenir ataques de este tipo.