El plugin Orbit Fox by ThemeIsle para WordPress es vulnerable a Cross-Site Scripting via archivos SVG en todas las versiones hasta, e incluyendo, la 2.10.36 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso nivel Autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda al archivo SVG.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión del plugin tan pronto como sea posible. Además, se recomienda limitar el acceso de los usuarios con roles de Autor y superior en el sitio web para minimizar el riesgo de explotación. También se aconseja no permitir la carga de archivos SVG a menos que sea estrictamente necesario, y en su lugar utilizar otros formatos de imagen más seguros.
Es fundamental mantener todos los plugins y temas actualizados para garantizar la seguridad de un sitio WordPress. Al tomar medidas proactivas para limitar el acceso y la carga de archivos no seguros, los usuarios pueden reducir la posibilidad de sufrir ataques de Cross-Site Scripting como el reportado en el plugin Orbit Fox.