Plataforma
wordpress
Componente
auto-date-year-month
Corregido en
2.0.2
El plugin AADMY – Add Auto Date Month Year Into Posts para WordPress es vulnerable a la ejecución arbitraria de shortcodes. Esta vulnerabilidad se debe a una falta de validación adecuada de los valores antes de ejecutar la función do_shortcode, lo que permite a atacantes no autenticados inyectar y ejecutar código malicioso. Las versiones afectadas son todas las versiones hasta la 2.0.1. Se recomienda actualizar el plugin a la última versión disponible para mitigar el riesgo.
La ejecución arbitraria de shortcodes permite a un atacante controlar la salida del plugin AADMY, potencialmente inyectando código JavaScript malicioso en las páginas web. Esto podría resultar en el robo de credenciales de usuario, la redirección a sitios web maliciosos o la modificación del contenido del sitio web. Un atacante podría, por ejemplo, inyectar un shortcode que ejecute código PHP arbitrario, comprometiendo la seguridad del sitio WordPress completo. La falta de autenticación necesaria para explotar esta vulnerabilidad amplía significativamente el riesgo, ya que cualquier usuario anónimo puede potencialmente ejecutar código malicioso.
Esta vulnerabilidad fue publicada el 15 de octubre de 2024. No se ha reportado explotación activa en campañas conocidas, pero la falta de autenticación necesaria para la explotación la convierte en un objetivo atractivo para atacantes. Se recomienda monitorear de cerca el sitio WordPress en busca de signos de intrusión.
Websites using the AADMY – Add Auto Date Month Year Into Posts plugin, particularly those with limited security configurations or shared hosting environments, are at risk. Sites with default WordPress configurations and those that haven't implemented robust access controls are especially vulnerable.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/plugins/aadmy-add-auto-date-month-year-into-posts/• wordpress / composer / npm:
wp plugin list --status=inactive | grep aadmy• wordpress / composer / npm:
wp plugin list | grep aadmydisclosure
Estado del Exploit
EPSS
1.75% (83% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin AADMY a una versión corregida que solucione la vulnerabilidad de ejecución arbitraria de shortcodes. Si la actualización no es inmediatamente posible, se recomienda deshabilitar temporalmente el plugin. Como medida adicional, se puede implementar un firewall de aplicaciones web (WAF) para filtrar solicitudes que contengan shortcodes sospechosos. Además, revise los archivos del plugin en busca de modificaciones no autorizadas y asegúrese de que el sitio WordPress esté actualizado con las últimas versiones de seguridad.
Actualice el plugin AADMY – Add Auto Date Month Year Into Posts a una versión posterior a la 2.0.1. Esto solucionará la vulnerabilidad de ejecución de shortcodes arbitrarios sin autenticación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-9837 is a HIGH severity vulnerability in the AADMY WordPress plugin allowing unauthenticated attackers to execute arbitrary shortcodes due to insufficient input validation.
You are affected if you are using the AADMY – Add Auto Date Month Year Into Posts plugin version 2.0.1 or earlier.
Upgrade the AADMY plugin to the latest available version as soon as a patch is released. Disable the plugin as a temporary workaround.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a potential for rapid exploitation.
Check the AADMY plugin developer's website or WordPress plugin repository for the official advisory and patch release.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.