Classified Listing – Classified ads & Business Directory Plugin <= 5.0.3 - Authenticated (Subscriber+) Arbitrary Shortcode Execution via Listing Description

Resumen ejecutivo

Se ha identificado una vulnerabilidad de ejecución arbitraria de shortcodes en el plugin Classified Listing, que afecta a las versiones hasta la 5.0.3. Este fallo puede ser explotado por usuarios autenticados con rol de suscriptor o superior.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las descripciones de los anuncios, permitiendo la ejecución de shortcodes arbitrarios. Esto crea un vector de ataque que puede ser aprovechado por usuarios con acceso autenticado a la plataforma.

Impacto potencial

El impacto puede ser significativo, ya que un atacante podría inyectar código malicioso que comprometa la integridad del sitio web o afecte la experiencia del usuario. Esto podría derivar en pérdida de datos o acceso no autorizado a información sensible.

Vector de explotación

La explotación de esta vulnerabilidad suele llevarse a cabo mediante la modificación de la descripción de un anuncio por parte de un usuario autenticado, lo que desencadena la ejecución de shortcodes no autorizados.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 5.0.4 o superior. Además, se sugiere revisar los permisos de usuario y aplicar controles más estrictos sobre quién puede editar las descripciones de los anuncios.

Señales de detección

Señales de riesgo incluyen modificaciones inusuales en las descripciones de anuncios y la aparición de shortcodes no reconocidos en el contenido del sitio.

Alcance afectado

Las versiones del plugin Classified Listing hasta la 5.0.3 están afectadas. Se recomienda a todos los usuarios que utilicen este plugin verificar su versión y actualizar si es necesario.