La vulnerabilidad CVE-2024-9642 afecta al plugin Editor Custom Color Palette para WordPress y permite a atacantes autenticados, con acceso de Autor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG subido.
La vulnerabilidad de XSS almacenado en el plugin Editor Custom Color Palette hasta la versión 3.3.7 se debe a una insuficiente sanitización de entradas y escape de salida. Los usuarios pueden subsanar este problema actualizando el plugin a la última versión disponible, evitando subir archivos SVG no confiables y vigilando de cerca los permisos de los usuarios con acceso de Autor o superior.
Es vital para la seguridad de un sitio web de WordPress mantener todos los plugins actualizados y tomar precauciones al permitir cargar archivos de usuarios. Con conciencia y prácticas de seguridad sólidas, se puede reducir significativamente el riesgo de ataques de XSS almacenado.