La vulnerabilidad CVE-2024-5226 permite a atacantes autenticados inyectar scripts maliciosos en páginas web a través de la funcionalidad de carga de archivos del plugin Fuse Social Floating Sidebar para WordPress.
El plugin Fuse Social Floating Sidebar para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la funcionalidad de carga de archivos en todas las versiones hasta la 5.4.10 debido a una validación insuficiente de archivos SVG. Esto permite que atacantes autenticados, con acceso de nivel contribuyente o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Se recomienda a los usuarios del plugin Fuse Social Floating Sidebar actualizar a la versión 5.4.11 o posterior para mitigar el riesgo de esta vulnerabilidad. Además, se recomienda no confiar únicamente en la validación por el lado del cliente al aceptar archivos subidos, validar y sanitizar siempre las entradas de los usuarios para evitar este tipo de ataques.