Aviso de seguridad urgente: XSS almacenado autenticado (Autor) a través de la carga de SVG en Soporte fácil de SVG (≤ 4.0)

Autor: Experto en seguridad de Hong Kong

Fecha: 18 de febrero de 2026

Plugin afectado: Soporte fácil de SVG (WordPress)

Versiones vulnerables: ≤ 4.0

Corregido en: 4.1

CVE: CVE-2025-12451

Severidad (impacto en el sitio): Bajo (CVSS ~5.9) — el contexto importa

Resumen ejecutivo

Soporte fácil de SVG hasta la versión 4.0 no valida ni desinfecta adecuadamente los archivos SVG cargados. Un usuario autenticado con privilegios de Autor (o superiores) puede cargar SVGs manipulados que contienen scripts incrustados, controladores de eventos o URIs de javascript:. Cuando tales SVGs se almacenan y luego se representan en contextos que permiten la ejecución de scripts, puede ocurrir una condición de Cross‑Site Scripting (XSS) almacenado. Actualice a Soporte fácil de SVG 4.1 o posterior como solución definitiva. Si no es posible una actualización inmediata, aplique las mitigaciones en este aviso.

¿Qué sucedió?

El plugin aceptó y almacenó archivos SVG sin una sanitización adecuada del lado del servidor. Un usuario autenticado con la capacidad de subir medios puede incrustar constructos ejecutables en un SVG. Cuando un administrador u otro usuario privilegiado visualiza la página o el elemento multimedia donde el SVG se renderiza en línea, el script incrustado puede ejecutarse en el navegador de ese usuario, potencialmente realizando acciones en el contexto de su sesión.

• Vector de ataque: Carga autenticada de un archivo SVG manipulado.
• Privilegio requerido: Autor (los autores pueden cargar medios por defecto en muchos sitios de WordPress).
• Tipo de explotación: XSS almacenado en el contenido del sitio entregado a otros usuarios (incluidos los administradores).
• Corregido en: Soporte fácil de SVG 4.1.
• Indicadores de detección: Archivos adjuntos SVG que contienen
  Revisa Mi Pedido

  0

  Subtotal

  Impuestos y envío calculados en la caja

  Pagar