El plugin Image Optimizer, Resizer and CDN – Sirv para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 7.2.9 debido a una insuficiente sanitización de la entrada y escapado de salida. Esto permite que atacantes autenticados, con acceso de nivel Autor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda al archivo SVG.
La vulnerabilidad (CVE-2024-8964) se produce debido a la falta de adecuada limpieza de la entrada de usuario, lo que permite que un atacante inserte código malicioso en un archivo SVG y lo cargue en el sitio web. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible de forma inmediata. Además, se puede implementar filtros de seguridad o plugins específicos para bloquear la carga de archivos SVG, o restringir el acceso a la funcionalidad de carga de archivos a roles de usuario de confianza.
Es fundamental para los usuarios de WordPress mantener sus plugins actualizados y estar al tanto de las posibles vulnerabilidades que puedan afectar la seguridad de sus sitios web. Al tomar medidas proactivas para protegerse contra ataques de Cross-Site Scripting, se puede reducir significativamente el riesgo de compromiso de datos y daños a la reputación.