La vulnerabilidad CVE-2024-10367 en el plugin Otter Blocks para WordPress permite a atacantes autenticados con nivel de Author o superior realizar ataques de Cross-Site Scripting a través de la carga de archivos SVG.
El plugin Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE para WordPress es vulnerable a Cross-Site Scripting almacenado a través de cargas de archivos SVG a través de la API REST en todas las versiones hasta, e incluyendo, la 3.0.4 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Author y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
Se recomienda a los usuarios actualizar a la última versión del plugin Otter Blocks para corregir esta vulnerabilidad y evitar posibles ataques de Cross-Site Scripting. Además, se aconseja a los administradores del sitio implementar medidas de seguridad adicionales, como limitar los privilegios de los usuarios y validar adecuadamente la entrada de datos en los formularios para prevenir futuros problemas de seguridad.