La vulnerabilidad CVE-2024-9270 afecta al plugin Lenxel Core para Lenxel(LNX) LMS en WordPress, permitiendo a atacantes autenticados con nivel de acceso Autor o superior, inyectar scripts web arbitrarios a través de la subida de archivos SVG.
La falta de sanitización de entradas y escape de salidas en la versión 1.1 y anteriores del plugin Lenxel Core para Lenxel(LNX) LMS hace posible que un atacante autenticado pueda inyectar scripts web maliciosos en las páginas que contienen el archivo SVG subido, los cuales se ejecutarán cuando un usuario acceda a dicho archivo.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Lenxel Core para Lenxel(LNX) LMS a la versión más reciente disponible que parchee esta vulnerabilidad. Además, se aconseja a los administradores del sitio web evitar la subida de archivos SVG por parte de usuarios no confiables y revisar regularmente la seguridad de los plugins instalados en WordPress.