El complemento Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE PRO para WordPress es vulnerable a XSS almacenado a través de un formulario de carga de archivos, que permite cargas de archivos SVG, en todas las versiones hasta, e incluyendo, la 2.6.3 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Cabe destacar que el parche en la versión 2.6.4 permite cargas de archivos SVG, pero los archivos SVG cargados están saneados.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente a la versión 2.6.4 del complemento Otter Blocks PRO para protegerse contra la explotación de XSS almacenado. Además, se recomienda a los usuarios que eviten cargar archivos SVG no confiables y que implementen otras medidas de seguridad, como limitar la carga de archivos solo a usuarios autenticados.
Mantener los complementos de WordPress actualizados y seguir las mejores prácticas de seguridad al cargar archivos pueden ayudar a prevenir ataques de XSS almacenado en el futuro. Es fundamental mantenerse al tanto de las actualizaciones de seguridad para protegerse contra vulnerabilidades conocidas.