El plugin Easy SVG Support para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado a través de la carga de archivos SVG a través de la API REST en todas las versiones hasta, e incluyendo, la 3.7. Esta vulnerabilidad se debe a una insuficiente sanitización de entrada y escape de salida, lo que permite a atacantes autenticados con acceso de Autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
La vulnerabilidad CVE-2024-10269 permite a un atacante autenticado cargar un archivo SVG malicioso que contenga scripts malintencionados. Al acceder a la página que contiene el archivo SVG comprometido, los scripts se ejecutarán en el contexto del usuario que visualiza la página. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin Easy SVG Support a la última versión disponible de forma inmediata. Además, se debe configurar adecuadamente el nivel de acceso de los usuarios para limitar la posibilidad de aprovechar esta vulnerabilidad.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para protegerse de posibles vulnerabilidades de seguridad. Ante la presencia de vulnerabilidades como la mencionada en Easy SVG Support <= 3.7, la rápida aplicación de actualizaciones y una correcta gestión de los permisos de los usuarios son medidas efectivas para reducir el riesgo de ataques de Cross-Site Scripting en un sitio web WordPress.