La vulnerabilidad de Cross-Site Scripting almacenado en la versión 1.7.2 y anteriores del plugin ID-SK Toolkit para WordPress permite a atacantes autenticados con acceso de Autor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda al archivo SVG.
La falta de saneamiento de entrada y escape de salida en el plugin ID-SK Toolkit permite a atacantes autenticados aprovechar la función de carga de archivos SVG para inyectar y ejecutar scripts maliciosos en las páginas afectadas. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible y restringir el acceso a roles de usuario con privilegios mínimos necesarios.
Es fundamental para la seguridad de un sitio web mantener todos los plugins y temas actualizados, así como limitar los privilegios de los usuarios para reducir la superficie de ataque. La corrección oportuna de vulnerabilidades conocidas como esta en el plugin ID-SK Toolkit es esencial para proteger la integridad y la privacidad de los datos de los usuarios.