El plugin Contact Form 7 – Dynamic Text Extension para WordPress es vulnerable a la Divulgación Básica de Información en todas sus versiones hasta la 4.5 a través del shortcode CF7_get_post_var. Esto hace posible que atacantes autenticados, con acceso de nivel Contribuidor y superior, puedan extraer los títulos y contenidos de texto de publicaciones privadas y protegidas con contraseña que no les pertenecen.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente su plugin Contact Form 7 – Dynamic Text Extension a la última versión disponible, en este caso la 4.6 o superior. Además, se recomienda revisar y ajustar los permisos de los roles de usuario en el sitio web para limitar el acceso a la funcionalidad de extracción de contenido a los administradores solamente.
Es fundamental mantener los plugins de WordPress actualizados y realizar una gestión proactiva de los roles de usuario para reducir el riesgo de exposición de información sensible a actores no autorizados en el sitio web.