El plugin Branding para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la subida de archivos SVG en todas las versiones hasta, e incluyendo, la 1.0 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de Autor y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
La vulnerabilidad CVE-2024-9452, denominada ‘Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)’, pone en peligro la seguridad de los sitios web que utilizan el plugin Branding en versiones anteriores a la 1.0. Los ciberdelincuentes con credenciales de Autor u otro nivel superior pueden aprovechar esta vulnerabilidad para insertar código malicioso en las páginas del sitio y comprometer la seguridad de los usuarios que acceden a ellas. Para protegerse, se recomienda desactivar temporalmente el plugin Branding y actualizarlo a la última versión disponible.
Es crucial que los usuarios de WordPress estén al tanto de las vulnerabilidades en plugins como Branding y tomen medidas proactivas para proteger sus sitios web. Mantener todos los plugins actualizados y realizar una revisión periódica de la seguridad del sitio puede ayudar a prevenir ataques de Cross-Site Scripting y otras amenazas cibernéticas.