El plugin Ninja Tables – Easiest Data Table Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, 5.0.12 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de nivel Autor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
La vulnerabilidad CVE-2024-7304, conocida como ‘Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)’, permite a los atacantes almacenar scripts maliciosos en el sitio web vulnerable y luego afectar a los usuarios que visitan ese sitio. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin Ninja Tables a la última versión disponible, en este caso, la 5.0.13. Además, se debe monitorear de cerca cualquier upload de archivos SVG y verificar que no contengan scripts maliciosos.
Es crucial que los propietarios de sitios web que utilicen el plugin Ninja Tables – Easiest Data Table Builder estén al tanto de esta vulnerabilidad y tomen medidas para proteger sus sitios y usuarios. Mantener todos los plugins y temas actualizados y realizar una revisión periódica de la seguridad del sitio son prácticas recomendadas para prevenir ataques de Cross-Site Scripting y otras amenazas de seguridad.