El plugin SVG Complete para WordPress es vulnerable a XSS almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.0.2 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
La falta de sanitización de la entrada y escape de la salida en el plugin SVG Complete <= 1.0.2 puede ser explotada por atacantes autenticados para llevar a cabo ataques de XSS almacenado. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, la 1.0.3. Además, se recomienda a los administradores del sitio WordPress monitorear de cerca la actividad dentro del sitio en busca de comportamientos sospechosos.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para protegerse contra vulnerabilidades como la XSS almacenado. La seguridad de un sitio web es responsabilidad de todos los involucrados, desde los desarrolladores hasta los administradores y usuarios finales.