La vulnerabilidad CVE-2024-9454 en el plugin PriPre para WordPress permite a atacantes autenticados con nivel de Autor y superior inyectar scripts web arbitrarios en páginas a través de la subida de archivos SVG.
El plugin PriPre para WordPress en versiones hasta la 0.4.11 es vulnerable a XSS almacenado a través de la subida de archivos SVG debido a una insuficiente sanitización de datos de entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de Autor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda al archivo SVG.
Para mitigar este problema, se recomienda a los usuarios actualizar el plugin PriPre a la última versión disponible, en la cual se hayan corregido estas vulnerabilidades de seguridad. Además, se debe seguir buenas prácticas de seguridad al trabajar con archivos subidos por usuarios, como realizar una adecuada validación y filtrado de los mismos.