Plataforma
wordpress
Componente
wp-special-textboxes
Corregido en
6.2.3
El plugin Special Text Boxes para WordPress es vulnerable a la ejecución arbitraria de shortcodes. Esta vulnerabilidad, presente en todas las versiones hasta la 6.2.2, se debe a la adición del filtro addfilter('commenttext', 'do_shortcode');, lo que permite la ejecución de shortcodes en los comentarios. Esto facilita a atacantes no autenticados la ejecución de código malicioso en el sitio web.
Un atacante puede explotar esta vulnerabilidad insertando shortcodes maliciosos en los comentarios de las publicaciones. Estos shortcodes pueden ejecutar código PHP arbitrario, permitiendo al atacante tomar el control del sitio web, robar información sensible (como credenciales de usuario o datos de clientes), modificar contenido, o incluso inyectar malware. La ejecución de shortcodes en el contexto del sitio web otorga al atacante un alto grado de control sobre el entorno WordPress, lo que podría resultar en una brecha de seguridad significativa. La falta de autenticación necesaria para explotar la vulnerabilidad amplía el riesgo, ya que cualquier usuario puede intentar la explotación.
Esta vulnerabilidad ha sido publicada públicamente el 25 de septiembre de 2024. No se ha reportado explotación activa a la fecha, pero la disponibilidad de la vulnerabilidad y su relativa facilidad de explotación la convierten en un objetivo potencial. Se recomienda monitorear los registros del servidor y el sitio web en busca de actividad sospechosa.
Websites using the Special Text Boxes plugin, particularly those with comment functionality enabled, are at risk. Shared hosting environments where multiple websites share the same server are also at higher risk, as a compromise on one site could potentially impact others. Sites with legacy WordPress configurations or those that haven't regularly updated their plugins are especially vulnerable.
• wordpress / composer / npm:
grep -r 'add_filter\('comment_text', 'do_shortcode'\);' /var/www/html/wp-content/plugins/special-text-boxes/• wordpress / composer / npm:
wp plugin list --status=active | grep 'special-text-boxes'• wordpress / composer / npm:
wp plugin update special-text-boxesdisclosure
Estado del Exploit
EPSS
1.43% (81% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Special Text Boxes a una versión corregida, si está disponible. Si la actualización no es posible de inmediato, se recomienda deshabilitar temporalmente el plugin. Como alternativa, se puede implementar una solución de seguridad web (WAF) que filtre los shortcodes maliciosos en los comentarios. Además, se puede modificar el código del plugin para eliminar el filtro addfilter('commenttext', 'do_shortcode'); o restringir su uso a usuarios autenticados. Verifique que el sitio web cuente con un sistema de moderación de comentarios robusto para detectar y eliminar comentarios sospechosos.
Actualice el plugin Special Text Boxes a la última versión disponible. Esto solucionará la vulnerabilidad de ejecución de shortcodes arbitrarios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-8481 is a vulnerability in the Special Text Boxes WordPress plugin allowing unauthenticated attackers to execute arbitrary shortcodes via comments, potentially leading to website compromise.
You are affected if you are using the Special Text Boxes plugin in WordPress version 6.2.2 or earlier. Check your plugin versions immediately.
Upgrade the Special Text Boxes plugin to the latest available version to patch the vulnerability. If immediate upgrade is not possible, consider temporary workarounds like disabling comments or using a WAF.
While no public exploits are currently known, the ease of exploitation suggests active exploitation is possible. Monitor your website and implement mitigations proactively.
Refer to the plugin developer's website or WordPress.org plugin page for the latest advisory and update information regarding CVE-2024-8481.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.