Recopilación de vulnerabilidades WordPress.

Vulnerabilidad de Cross-Site Scripting en Elementor Header & Footer Builder <= 1.6.45

La vulnerabilidad CVE-2024-10325 afecta al plugin de Elementor Header & Footer Builder para WordPress en sus versiones hasta 1.6.45, permitiendo a atacantes autenticados con nivel de autor o superior llevar a cabo ataques de Cross-Site Scripting almacenado a través de la carga de archivos SVG.

El plugin de Elementor Header & Footer Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través de cargas de archivos SVG en la REST API en todas las versiones hasta, e incluyendo, la 1.6.45 debido a una sanitización insuficiente de la entrada y escape insuficiente de la salida. Esto permite a atacantes autenticados, con acceso de autor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
Se recomienda a los usuarios actualizar el plugin Elementor Header & Footer Builder a la última versión disponible lo antes posible para mitigar esta vulnerabilidad de seguridad. Además, se aconseja realizar una revisión de los archivos SVG cargados para asegurarse de que no contienen scripts maliciosos.

Related Article