La vulnerabilidad CVE-2024-10016 afecta al plugin File Upload Types by WPForms para WordPress, permitiendo a atacantes autenticados realizar Cross-Site Scripting (XSS) a través de la carga de archivos SVG. Esta vulnerabilidad se debe a una sanitización insuficiente de la entrada y escape inadecuado de la salida.
La vulnerabilidad de Cross-Site Scripting Stored afecta a todas las versiones del plugin WPForms hasta la versión 1.4.0. Esto significa que los atacantes autenticados con nivel de autor o superior pueden inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG cargado. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin WPForms tan pronto como sea posible.
Es importante tomar medidas proactivas para proteger tu sitio web de vulnerabilidades de seguridad como la descrita en CVE-2024-10016. Mantener tus plugins y temas actualizados, realizar copias de seguridad periódicas y estar atento a las alertas de seguridad son buenas prácticas para mantener la seguridad de tu sitio WordPress.