El plugin SVG Shortcode para WordPress es vulnerable a XSS almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.0.1 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
Los usuarios afectados por esta vulnerabilidad deben asegurarse de actualizar el plugin a la última versión disponible, en este caso, la 1.0.2 que corrige este problema de seguridad. Además, se recomienda no permitir a usuarios no autenticados cargar archivos SVG en el sitio web para mitigar el riesgo de XSS almacenado. Si se sospecha que un sitio ha sido comprometido, se debe realizar una exhaustiva limpieza de los archivos afectados y monitorear de cerca cualquier actividad sospechosa.
Es fundamental para los administradores de WordPress mantener todos los plugins y temas actualizados para proteger sus sitios de posibles vulnerabilidades de seguridad. En el caso específico del plugin SVG Shortcode, actualizar a la versión 1.0.2 es crucial para evitar el riesgo de XSS almacenado a través de archivos SVG.