Vulnerabilidad en Contact Form & SMTP Plugin para WordPress

Se ha identificado una vulnerabilidad de seguridad en el plugin Contact Form & SMTP (PirateForms) para WordPress, esto hace posible que atacantes no autenticados ejecuten códigos cortos arbitrarios

• CVE-2024-13453 (CVSS 7.3): Esta vulnerabilidad surge de una validación insuficiente en la función do_shortcode, permitiendo a atacantes no autenticados ejecutar shortcodes arbitrarios. Un atacante podría explotar esta falla para inyectar código malicioso en páginas o publicaciones, resultando en la ejecución de código no autorizado, manipulación de contenido o comprometer la disponibilidad del sitio web.

Productos y versiones afectadas:

• Versiones del plugin Contact Form & SMTP para WordPress anteriores a la 2.6.1.

Solución:

• Actualizar a la versión 2.6.1 o superior.

Recomendaciones:

• Actualizar el plugin a la última versión disponible para mitigar la vulnerabilidad.

• Monitorear la actividad del sitio web para detectar modificaciones no autorizadas o comportamientos anómalos.

• Implementar configuraciones de seguridad adicionales para restringir la ejecución de shortcodes y prevenir posibles abusos.

Referencias:

• https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/pirate-forms/contact-form-smtp-plugin-for-wordpress-by-pirateforms-260-unauthenticated-arbitrary-shortcode-execution
• https://nvd.nist.gov/vuln/detail/CVE-2024-13453

• https://www.cve.org/CVERecord?id=CVE-2024-13453