El plugin Advanced Blocks Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, 1.0.0 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite que atacantes autenticados, con acceso de nivel Autor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
La vulnerabilidad CVE-2024-9074 en Advanced Blocks Pro <= 1.0.0 permite a atacantes autenticados con rol de Autor o superior cargar archivos SVG maliciosos que contengan scripts malintencionados. Estos scripts pueden ser ejecutados en el navegador de cualquier usuario que acceda a la página donde se haya insertado el archivo SVG infectado, lo que podría llevar a ataques de tipo Cross-Site Scripting (XSS). Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible y evitar cargar archivos SVG de fuentes desconocidas.
Es fundamental que los usuarios de Advanced Blocks Pro actualicen sus instalaciones a la última versión para protegerse contra esta vulnerabilidad de Cross-Site Scripting. Además, se recomienda practicar una buena higiene de seguridad al evitar cargar archivos de origen no confiable y mantenerse al tanto de las actualizaciones de seguridad del plugin.