El plugin Preloader Plus – WordPress Loading Screen Plugin es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 2.2.1 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de Autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
La vulnerabilidad CVE-2024-6849 de Preloader Plus – WordPress Loading Screen Plugin permite a atacantes autenticados cargar archivos SVG maliciosos para ejecutar scripts web arbitrarios. Para mitigar este riesgo, se recomienda actualizar el plugin a la última versión disponible y evitar cargar archivos SVG de fuentes no confiables. Además, los usuarios pueden implementar medidas de seguridad adicionales, como la restricción de permisos de carga de archivos para roles de usuario y la supervisión constante de actividades sospechosas en el sitio.
Es crucial que los usuarios de Preloader Plus – WordPress Loading Screen Plugin estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger sus sitios web contra posibles ataques de Cross-Site Scripting. La actualización regular del plugin y la adopción de buenas prácticas de seguridad son fundamentales para garantizar la integridad de los sitios de WordPress.