CVE-2024-11847

Nome do Software Vulnerável e Versões Afetadas Plugin WordPress wp-svg-upload versão 1.0.0

Descrição O problema refere-se ao plugin WordPress wp-svg-upload, que não sanitiza o conteúdo de arquivos SVG. Isso permite que usuários com pelo menos a função de autor façam upload de arquivos SVG contendo JavaScript malicioso, possibilitando a realização de ataques de XSS Armazenado.

Recomendações Para a versão 1.0.0, considere desativar a capacidade de fazer upload de arquivos SVG até que um patch esteja disponível para prevenir ataques de XSS Armazenado. Restrinja o acesso à funcionalidade do plugin para usuários com a função de autor e inferiores, a fim de minimizar o risco de exploração. Evite utilizar o plugin para fazer upload de arquivos SVG com conteúdo JavaScript até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.