El plugin de WordPress Gift Cards (Gift Vouchers and Packages) (compatible con WooCommerce) es vulnerable a Stored Cross-Site Scripting a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 4.4.4 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
La vulnerabilidad identificada en el CVE-2024-9165 se debe a la falta de validación adecuada de los datos de entrada antes de mostrarlos en la página, lo que permite a un atacante incrustar scripts maliciosos en la página web de la tienda online. Para mitigar este riesgo, se recomienda a los usuarios de Gift Cards (Gift Vouchers and Packages) actualizar su plugin a la última versión disponible y no permitir la carga de archivos SVG en sus sitios. Además, se debe implementar una política de seguridad que incluya la revisión regular de los scripts y la validación de las entradas de usuario para prevenir futuros ataques de este tipo.
Es fundamental que los propietarios de sitios web que utilicen el plugin Gift Cards (Gift Vouchers and Packages) sean conscientes de esta vulnerabilidad de Cross-Site Scripting y tomen las medidas necesarias para proteger sus sitios y usuarios. La seguridad de los datos y la integridad del sitio web son fundamentales para mantener la confianza de los clientes y garantizar una experiencia segura de compra en línea.