El plugin WP Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 3.0.7 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite que atacantes autenticados, con acceso a nivel de Autor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente a la última versión del plugin WP Builder para evitar posibles ataques de Cross-Site Scripting. Además, se recomienda restringir el acceso de los usuarios con roles de Autor y superiores para reducir el riesgo de explotación. Otra medida preventiva es limitar la carga de archivos SVG solo a usuarios de confianza o deshabilitar esta funcionalidad si no es estrictamente necesaria.
Es crucial tomar medidas proactivas para protegerse contra vulnerabilidades como el Cross-Site Scripting en WordPress. Mantener todos los plugins y temas actualizados, así como restringir los permisos de los usuarios, son pasos fundamentales para garantizar la seguridad de tu sitio web.