WordPress Core < 6.3.2 – Authenticated (Subscriber+) Arbitrary Shortcode Execution via parse-media-shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el núcleo de WordPress anterior a la versión 6.3.2, que permite la ejecución arbitraria de shortcodes para usuarios autenticados con rol de Suscriptor o superior. Esta vulnerabilidad, clasificada como de severidad media, puede comprometer la integridad del contenido del sitio.

Contexto técnico

La vulnerabilidad radica en la función 'parse-media-shortcode', que no valida adecuadamente las entradas de los usuarios autenticados, permitiendo la ejecución de shortcodes no autorizados. Esto abre una superficie de ataque que puede ser aprovechada por usuarios con permisos mínimos.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante ejecute código malicioso en el contexto del sitio, lo que podría resultar en la alteración del contenido, la inyección de scripts o la exposición de datos sensibles. Esto puede afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

Generalmente, la explotación se realiza mediante el envío de un shortcode malicioso a través de una solicitud autenticada, lo que permite al atacante ejecutar código no autorizado en el sitio web.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar WordPress a la versión 6.3.2 o superior. Además, se deben revisar los permisos de usuario y limitar el acceso a funciones críticas para los roles de usuario menos privilegiados.

Señales de detección

Señales de riesgo incluyen la aparición de shortcodes no autorizados en el contenido del sitio, cambios inesperados en la funcionalidad de los shortcodes existentes, o actividad inusual en las cuentas de usuarios autenticados.

Alcance afectado

Las versiones de WordPress anteriores a la 6.3.2 son las afectadas. Esto incluye todas las instalaciones que utilizan estas versiones, sin distinción de plugins o temas.