El plugin EAN for WooCommerce para WordPress es vulnerable a una Referencia Directa a Objetos Insegura en todas las versiones hasta, e incluyendo, la 4.9.2 a través del shortcode ‘alg_wc_ean_product_meta’ debido a la falta de validación en una clave controlada por el usuario. Esto permite a atacantes autenticados, con acceso de nivel colaborador y superior, exponer metadatos de publicaciones potencialmente sensibles.
La vulnerabilidad CVE-2023-6897 en el plugin EAN for WooCommerce permite a usuarios con ciertos niveles de acceso exponer información sensible a través de un shortcode. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, la 4.9.3. Además, se puede restringir el acceso a los shortcodes solo a usuarios con roles de administrador y limitar el acceso de los usuarios a los metadatos de las publicaciones utilizando plugins de seguridad adicionales.
Es crucial para los usuarios de WooCommerce que utilicen el plugin EAN for WooCommerce actualizar a la última versión para mitigar el riesgo de exposición de información sensible a través del shortcode vulnerable. La seguridad en WordPress es responsabilidad de todos los usuarios, por lo que es importante tomar medidas proactivas para proteger los sitios web de posibles amenazas.