La vulnerabilidad CVE-2024-8915, encontrada en el plugin Category Icon para WordPress, permite a atacantes autenticados con permisos de autor o superiores inyectar scripts web maliciosos en páginas a través de la carga de archivos SVG.
La falta de sanitización de entradas y escape de salida en el plugin Category Icon para WordPress en versiones hasta 1.0.0, abre la puerta a ataques de Cross-Site Scripting almacenado. Esto significa que los atacantes con acceso de nivel Autor o superior pueden inyectar scripts web arbitrarios que se ejecutarán cada vez que un usuario acceda al archivo SVG.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Category Icon a la última versión disponible y limitar el acceso de los usuarios a roles más bajos que Autor. Además, se sugiere no permitir la carga de archivos SVG en entornos de WordPress si no es estrictamente necesario.