El plugin PWA — easy way to Progressive Web App para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.6.3 debido a una sanitización insuficiente de la entrada y a la falta de escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar scripts web arbitrarios en las páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
El ID CVE asociado a esta vulnerabilidad es CVE-2024-8967. En este caso, la falta de adecuada sanitización de la entrada y escape de la salida en el plugin PWA- easy way to Progressive Web App permite a atacantes con ciertos niveles de acceso comprometer la seguridad del sitio web WordPress. Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como sea posible. Además, se puede considerar limitar los permisos de los roles de usuario para reducir la exposición al riesgo de Cross-Site Scripting almacenado.
Es crucial tomar medidas proactivas para proteger los sitios web WordPress de vulnerabilidades como el Cross-Site Scripting almacenado. Mantener todos los plugins y temas actualizados, así como restringir los permisos de los usuarios, son pasos esenciales para garantizar la seguridad en línea.