Plataforma
wordpress
Componente
motors
Corregido en
5.6.66
El tema Motors - Car Dealer, Rental & Listing para WordPress es vulnerable a la ejecución arbitraria de shortcodes. Esta vulnerabilidad permite a atacantes no autenticados ejecutar código malicioso en sitios web que utilizan esta plantilla. Afecta a las versiones hasta y incluyendo 5.6.65. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación.
La ejecución arbitraria de shortcodes es una vulnerabilidad grave que puede permitir a un atacante tomar el control completo de un sitio web WordPress. Un atacante podría inyectar código malicioso en el sitio web, robar datos confidenciales, modificar el contenido del sitio web o incluso utilizar el sitio web para lanzar ataques contra otros sistemas. La falta de validación adecuada de los valores antes de ejecutar do_shortcode es la causa principal de esta vulnerabilidad, permitiendo la inyección de código a través de shortcodes maliciosos. La severidad de este problema radica en su potencial para comprometer la integridad y confidencialidad de los datos del sitio web y sus usuarios.
La vulnerabilidad fue publicada el 3 de mayo de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad, pero la posibilidad de ejecución arbitraria de shortcodes la convierte en un objetivo atractivo para los atacantes. No se ha listado en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Websites using the Motors - Car Dealer, Rental & Listing WordPress theme, particularly those running older versions (≤5.6.65), are at risk. Shared hosting environments where users have limited control over theme updates are especially vulnerable. Sites with weak security configurations or outdated WordPress installations are also at increased risk.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/themes/motors-car-dealer-rental-listing/• wordpress / composer / npm:
wp plugin list --status=all | grep motors• wordpress / composer / npm:
wp theme list --status=all | grep motorsdisclosure
Estado del Exploit
EPSS
1.35% (80% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el tema Motors a la última versión disponible, ya que no se especifica una versión corregida en el registro de cambios. Si la actualización no es posible de inmediato, se recomienda limitar el acceso a la funcionalidad de shortcodes a usuarios autorizados. Además, se pueden implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan shortcodes sospechosos. Monitorear los archivos del tema en busca de modificaciones no autorizadas también puede ayudar a detectar una posible explotación. Verifique que la última versión del tema esté instalada después de la actualización.
Actualice el tema Motors - Car Dealer, Rental & Listing WordPress a la última versión disponible. Esto solucionará la vulnerabilidad de ejecución de shortcodes arbitrarios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13738 is a HIGH severity vulnerability allowing unauthenticated attackers to execute arbitrary shortcodes in the Motors WordPress theme due to insufficient input validation.
You are affected if you are using the Motors WordPress theme version 5.6.65 or earlier. Upgrade to the latest version to mitigate the risk.
Upgrade the Motors WordPress theme to the latest available version. Consider implementing a WAF as a temporary workaround.
While no public PoC exists, the ease of exploitation suggests a high probability of exploitation. Monitor your site for suspicious activity.
Refer to the theme developer's website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.