La vulnerabilidad CVE-2024-10017 en el plugin PJW Mime Config para WordPress permite a atacantes autenticados inyectar scripts maliciosos en archivos SVG cargados, lo que puede llevar a ataques de Cross-Site Scripting cuando un usuario accede a dichos archivos.
La falta de sanitización de entradas y escape de salidas en el plugin PJW Mime Config hasta la versión 1.0 permite a atacantes autenticados con acceso de Autor o superior inyectar scripts web arbitrarios en las páginas que contienen archivos SVG. Esto representa un riesgo de seguridad significativo para los sitios web que utilizan este plugin y tienen usuarios con privilegios de autoría. Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la última versión disponible y restringir el acceso a la carga de archivos SVG solo a usuarios de confianza.
Es crucial mantener todos los plugins y temas de WordPress actualizados para evitar ser víctima de vulnerabilidades conocidas. Además, es importante limitar los permisos de carga de archivos a roles de usuario específicos y realizar revisiones periódicas de seguridad en el sitio para detectar posibles problemas de seguridad.