El plugin SVG Block para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.1.24 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la versión 1.1.25 o superiores del plugin SVG Block para evitar la ejecución de scripts web maliciosos a través de archivos SVG subidos. Además, se recomienda a los administradores de sitios web WordPress implementar medidas de seguridad adicionales como la limitación de permisos de usuario y la monitorización regular de archivos subidos para detectar posibles amenazas.
La correcta gestión de actualizaciones y la adopción de buenas prácticas de seguridad pueden ayudar a prevenir ataques de Cross-Site Scripting almacenado en sitios web basados en WordPress utilizando el plugin SVG Block.