El plugin QS Dark Mode para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 2.9 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
La vulnerabilidad identificada como CVE-2024-9118, debida a una neutralización incorrecta de la entrada durante la generación de la página web, permite a un atacante autenticado subir un archivo SVG malicioso y ejecutar código JavaScript en el contexto del sitio web afectado. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin QS Dark Mode a la última versión disponible de inmediato, y evitar la carga de archivos SVG de fuentes no confiables.
Es fundamental que los usuarios de WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen medidas proactivas para mantener sus sitios seguros. Mantener todos los plugins actualizados y seguir las mejores prácticas de seguridad al trabajar con archivos cargados por usuarios son pasos importantes para protegerse contra posibles ataques de Cross-Site Scripting y otras amenazas de seguridad.