Fuente base de datos: Wordfence Intelligence

Motors – Car Dealer, Classifieds & Listing <= 1.4.43 - Authenticated (Subscriber+) Arbitrary Shortcode Execution via Custom Title

PLUGIN MEDIUM CVE-2024-10970

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de ejecución arbitraria de shortcodes en el plugin Motors – Car Dealer, Classifieds & Listing en versiones hasta la 1.4.43. Esta vulnerabilidad afecta a usuarios autenticados con rol de suscriptor o superior.

Contexto técnico

La vulnerabilidad permite la ejecución arbitraria de shortcodes a través de un título personalizado, lo que puede comprometer la integridad del sitio. La superficie de ataque se centra en las funcionalidades accesibles para usuarios autenticados, lo que aumenta el riesgo de explotación.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante ejecute código malicioso en el sitio, lo que podría conducir a la alteración de contenido, robo de datos o la toma de control del sitio. Esto puede afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

La explotación se lleva a cabo mediante la modificación de títulos personalizados por parte de usuarios autenticados, lo que permite la inyección de shortcodes maliciosos. No se proporciona un código de prueba operativo (PoC).

Mitigación recomendada

Actualizar el plugin a la versión 1.4.44 o superior para mitigar la vulnerabilidad. Además, se recomienda revisar los permisos de los roles de usuario y aplicar medidas de hardening en la configuración del sitio.

Señales de detección

Señales de riesgo incluyen cambios inusuales en los títulos personalizados de las publicaciones o la aparición de shortcodes no autorizados en el contenido del sitio.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin hasta la 1.4.43. Las instalaciones que utilicen versiones anteriores a la 1.4.44 están en riesgo.