Plataforma
wordpress
Componente
enable-shortcodes-inside-widgetscomments-and-experts
Corregido en
1.0.1
La vulnerabilidad CVE-2024-9846 afecta al plugin Enable Shortcodes inside Widgets,Comments and Experts para WordPress. Esta falla permite la ejecución arbitraria de shortcodes, lo que podría permitir a atacantes no autenticados ejecutar código malicioso en sitios web vulnerables. La vulnerabilidad se encuentra presente en todas las versiones hasta la 1.0.0. Se recomienda aplicar las mitigaciones o actualizar el plugin a una versión corregida tan pronto como sea posible.
La ejecución arbitraria de shortcodes representa un riesgo significativo para la seguridad de los sitios web WordPress. Un atacante podría aprovechar esta vulnerabilidad para inyectar código malicioso, como scripts de cross-site scripting (XSS) o incluso código que comprometa el servidor web. Esto podría resultar en el robo de información confidencial, la modificación del contenido del sitio web o incluso el control total del servidor. La falta de autenticación necesaria para explotar la vulnerabilidad amplía su alcance, permitiendo a atacantes anónimos causar daño.
La vulnerabilidad fue publicada el 30 de octubre de 2024. Actualmente no se dispone de información sobre campañas de explotación activas o la inclusión en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La falta de un PoC público no implica que la vulnerabilidad no pueda ser explotada, sino que requiere una mayor vigilancia.
Websites using the Enable Shortcodes inside Widgets,Comments and Experts plugin, particularly those running versions prior to the patch release, are at risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/plugins/enable-shortcodes-inside-widgets-comments-and-experts/• wordpress / composer / npm:
wp plugin list --status=inactive | grep enable-shortcodes• wordpress / composer / npm:
wp plugin list | grep enable-shortcodesdisclosure
Estado del Exploit
EPSS
0.78% (74% percentil)
CISA SSVC
Vector CVSS
La mitigación inmediata implica deshabilitar el plugin Enable Shortcodes inside Widgets,Comments and Experts hasta que se publique una versión corregida. Si la deshabilitación no es una opción, se recomienda revisar cuidadosamente todos los shortcodes utilizados en widgets, comentarios y áreas de expertos para identificar y eliminar cualquier código potencialmente malicioso. Además, se recomienda implementar reglas en un firewall de aplicaciones web (WAF) para bloquear la ejecución de shortcodes no autorizados. Una vez disponible, actualizar el plugin a la última versión es la solución definitiva. Después de la actualización, verifique la integridad del sitio web y los archivos del plugin para confirmar que la vulnerabilidad ha sido resuelta.
Actualice el plugin Enable Shortcodes inside Widgets,Comments and Experts a una versión posterior a la 1.0.0. Esto solucionará la vulnerabilidad de ejecución de shortcodes arbitrarios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-9846 is a vulnerability in the Enable Shortcodes plugin for WordPress that allows unauthenticated attackers to execute arbitrary shortcodes due to insufficient input validation, potentially leading to website compromise.
You are affected if you are using the Enable Shortcodes plugin version 1.0.0 or earlier. Check your plugin version and upgrade as soon as a patch is available.
Upgrade the Enable Shortcodes plugin to the latest patched version. Until a patch is released, disable the plugin or restrict shortcode usage.
While no public exploits are currently available, the vulnerability's ease of exploitation suggests it is likely to be targeted. Monitor security advisories for updates.
Check the plugin developer's website or WordPress plugin repository for the official advisory and patch release.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.