El plugin Admin and Site Enhancements (ASE) para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 7.5.1 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso a nivel personalizado y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG. Esta función debe estar habilitada, y para roles específicos para ser explotable.
Los usuarios afectados por esta vulnerabilidad en el plugin Admin and Site Enhancements (ASE) deberían deshabilitar temporalmente la carga de archivos SVG a través de la configuración del plugin. Además, se recomienda actualizar a la última versión disponible del plugin tan pronto como sea posible para mitigar este riesgo de seguridad. Por último, se aconseja a los usuarios monitorear de cerca sus sitios web en busca de posibles signos de actividad maliciosa.
Es fundamental que los propietarios de sitios web que utilicen el plugin Admin and Site Enhancements (ASE) estén al tanto de esta vulnerabilidad y tomen medidas proactivas para proteger sus sitios contra posibles ataques de Cross-Site Scripting. La deshabilitación de la carga de archivos SVG y la actualización regular de plugins son prácticas recomendadas para mantener la seguridad de WordPress.