Plataforma
wordpress
Componente
authors-list
Corregido en
2.0.5
El plugin Authors List para WordPress es vulnerable a la ejecución arbitraria de shortcodes debido a una validación insuficiente en la acción AJAX updateauthorslist_ajax. Esta vulnerabilidad permite a atacantes no autenticados ejecutar shortcodes arbitrarios, lo que podría comprometer la funcionalidad del sitio web. Las versiones afectadas son aquellas iguales o inferiores a 2.0.4. Se recomienda actualizar el plugin a la última versión disponible para mitigar el riesgo.
La ejecución arbitraria de shortcodes puede permitir a un atacante inyectar contenido malicioso en el sitio web, como scripts JavaScript, iframes o redirecciones. Esto podría resultar en el robo de información sensible, la modificación del contenido del sitio, o incluso el control total del sitio web. Un atacante podría, por ejemplo, inyectar un shortcode que muestre una ventana emergente con código malicioso, o redirigir a los usuarios a un sitio web falso. La severidad de este impacto depende de los permisos del usuario que ejecuta el shortcode y de la configuración del sitio web.
Esta vulnerabilidad fue publicada el 4 de diciembre de 2024. No se han reportado casos de explotación activa a la fecha. No se encuentra listada en el KEV de CISA. Se recomienda monitorear la situación y aplicar las mitigaciones necesarias lo antes posible.
Websites utilizing the Authors List plugin, particularly those running older, unpatched versions (≤2.0.4), are at risk. Shared hosting environments are especially vulnerable, as multiple websites on a single server could be affected by a single compromised plugin instance. Sites with weak security configurations or infrequent plugin updates are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep Authors List• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status | grep Authors List• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=update_authors_list_ajax | grep -i shortcodedisclosure
Estado del Exploit
EPSS
1.09% (78% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Authors List a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es posible de inmediato, se pueden aplicar algunas mitigaciones temporales. Deshabilitar la acción AJAX updateauthorslist_ajax puede reducir el riesgo, aunque esto podría afectar la funcionalidad del plugin. Implementar un firewall de aplicaciones web (WAF) con reglas para bloquear la ejecución de shortcodes no autorizados también puede ser efectivo. Monitorear los logs del servidor en busca de intentos de ejecución de shortcodes sospechosos es crucial.
Actualice el plugin Authors List a la última versión disponible. Esto solucionará la vulnerabilidad de ejecución de shortcodes arbitrarios sin autenticación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-10952 is a HIGH severity vulnerability in the Authors List WordPress plugin allowing unauthenticated attackers to execute arbitrary shortcodes due to insufficient input validation.
You are affected if you are using the Authors List plugin version 2.0.4 or earlier. Check your plugin version and update immediately.
Update the Authors List plugin to the latest version, which contains the security patch. If updating is not possible, temporarily disable the plugin.
While no widespread exploitation has been confirmed, the ease of exploitation suggests attackers are likely scanning for vulnerable instances.
Refer to the Authors List plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.