Plataforma
wordpress
Componente
wp-meta-data-filter-and-taxonomy-filter
Corregido en
1.3.4
El plugin MDTF – Meta Data and Taxonomies Filter para WordPress es vulnerable a la ejecución arbitraria de shortcodes. Esta vulnerabilidad permite a atacantes no autenticados inyectar y ejecutar shortcodes maliciosos, lo que puede resultar en la toma de control del sitio web. La vulnerabilidad afecta a todas las versiones hasta la 1.3.3.3. Se recomienda actualizar a la última versión disponible para mitigar el riesgo.
La ejecución arbitraria de shortcodes permite a un atacante inyectar código PHP malicioso en el sitio web a través de shortcodes. Esto puede llevar a la ejecución de comandos arbitrarios en el servidor, la modificación de contenido, la inyección de malware, o incluso la toma de control completa del sitio. Un atacante podría, por ejemplo, insertar un shortcode que descargue y ejecute un script desde un servidor externo, comprometiendo la confidencialidad, integridad y disponibilidad de los datos. La falta de autenticación necesaria para explotar esta vulnerabilidad amplía significativamente el riesgo, ya que cualquier usuario puede intentar la explotación.
Esta vulnerabilidad fue publicada el 24 de septiembre de 2024. No se ha reportado explotación activa en campañas conocidas, pero la falta de autenticación necesaria para la explotación la convierte en un objetivo atractivo. La disponibilidad de un PoC público podría facilitar la explotación por parte de atacantes. Se recomienda monitorear la actividad del sitio web y aplicar las medidas de mitigación lo antes posible.
Websites using the MDTF – Meta Data and Taxonomies Filter plugin, particularly those running older versions (≤1.3.3.3), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Sites with default WordPress configurations and weak security practices are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/plugins/mdtf-meta-data-and-taxonomies-filter/• wordpress / composer / npm:
wp plugin list --status=inactive | grep mdtf• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/mdtf-meta-data-and-taxonomies-filter/ | grep -i 'mdtf'disclosure
Estado del Exploit
EPSS
2.62% (86% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin MDTF – Meta Data and Taxonomies Filter a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda deshabilitar el plugin hasta que se pueda actualizar. Como medida adicional, se puede implementar un firewall de aplicaciones web (WAF) para filtrar solicitudes que contengan shortcodes sospechosos. También se recomienda revisar los shortcodes existentes en el sitio web para identificar y eliminar aquellos que puedan ser explotados.
Actualice el plugin MDTF – Meta Data and Taxonomies Filter a la última versión disponible. Esto solucionará la vulnerabilidad de ejecución de shortcodes arbitrarios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-8623 is a vulnerability in the MDTF plugin for WordPress that allows unauthenticated attackers to execute arbitrary shortcodes due to insufficient input validation, potentially leading to website takeover.
You are affected if you are using the MDTF plugin version 1.3.3.3 or earlier. Check your plugin version and upgrade immediately if vulnerable.
Upgrade the MDTF plugin to the latest version, which contains a fix for this vulnerability. If upgrading is not possible, temporarily disable the plugin.
While no confirmed active exploitation campaigns are currently known, public proof-of-concept exploits exist, increasing the risk of immediate exploitation.
Refer to the MDTF plugin developer's website or the WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.