El plugin SVGPlus para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la carga de archivos SVG via REST API en todas las versiones hasta, e incluyendo, la 1.1.0 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
Una vez que un atacante autenticado haya subido un archivo SVG malicioso utilizando la API REST, puede explotar la vulnerabilidad para ejecutar código malicioso en las páginas del sitio web. Para mitigar este problema, se recomienda a los usuarios actualizar a la última versión disponible del plugin SVGPlus, la cual debería corregir la vulnerabilidad de Cross-Site Scripting almacenado.
Es crucial que los administradores de sitios web que utilicen el plugin SVGPlus estén al tanto de esta vulnerabilidad y tomen medidas inmediatas para proteger sus sitios. Mantener todos los plugins actualizados y realizar auditorías de seguridad regulares son prácticas recomendadas para garantizar la integridad de un sitio WordPress.