CVE-2024-10222

Nome do Software Vulnerável e Versões Afetadas Plugin SVG Support para WordPress, versões até e incluindo a 2.5.10

Descrição A questão está relacionada ao Cross-Site Scripting (XSS) Armazenado via uploads de arquivos SVG devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível de Autor ou superior injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar o arquivo SVG. Por padrão, isso só pode ser explorado por administradores, mas a capacidade de fazer upload de arquivos SVG pode ser estendida para autores.

Recomendações Para o plugin SVG Support para WordPress, versões até e incluindo a 2.5.10, atualize para uma versão superior à 2.5.10 para resolver o problema. Como solução temporária, considere restringir a capacidade de fazer upload de arquivos SVG apenas para usuários confiáveis, como administradores, para minimizar o risco de exploração. Além disso, desativar o recurso de upload de arquivos SVG até que um patch esteja disponível também pode ajudar a mitigar o risco.