La vulnerabilidad CVE-2024-11002 afecta al plugin InPost Gallery para WordPress, permitiendo la ejecución arbitraria de shortcodes a través de la acción AJAX inpost_gallery_get_shortcode_template en todas las versiones hasta la 2.1.4.2. Esta vulnerabilidad radica en que el software permite a los usuarios ejecutar una acción sin validar correctamente un valor antes de ejecutar do_shortcode, lo que posibilita a atacantes autenticados, con acceso de nivel Subscriber o superior, ejecutar shortcodes arbitrarios.
Los usuarios afectados por esta vulnerabilidad en InPost Gallery deberían actualizar el plugin a la última versión disponible tan pronto como sea posible. Además, se recomienda limitar el acceso de los usuarios con permisos de Subscriber o superiores para reducir el riesgo de ataques. Otra medida preventiva es revisar y validar el código de los plugins instalados en WordPress para identificar posibles vulnerabilidades.
Es fundamental para la seguridad de un sitio web en WordPress mantener actualizados los plugins y temas, así como limitar los privilegios de los usuarios para reducir la superficie de ataque. Al tomar medidas proactivas, los administradores pueden proteger sus sitios de ataques que aprovechen vulnerabilidades como la presente en InPost Gallery.