La vulnerabilidad CVE-2024-12421 afecta al plugin Coupon Affiliates – Plugin de Afiliados para WooCommerce en todas las versiones hasta la 5.16.7.1. Esta vulnerabilidad permite a atacantes no autenticados ejecutar shortcodes de forma arbitraria y también es vulnerable a Cross-Site Scripting Reflejado.
La vulnerabilidad se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar do_shortcode, lo que permite a los atacantes ejecutar shortcodes arbitrarios. Aunque la versión 5.16.7.1 parcheó el Cross-Site Scripting, la ejecución de shortcodes arbitrarios se parcheó en la versión 5.16.7.2.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la versión 5.16.7.2 o posterior y mantenerlo siempre actualizado para evitar posibles ataques de ejecución de código no autorizado y Cross-Site Scripting.