La vulnerabilidad CVE-2023-6745 se ha encontrado en el plugin Custom Field Template para WordPress, permitiendo a atacantes autenticados con permisos de contributor o superiores inyectar scripts maliciosos en páginas web.
La falta de sanitización de entrada y escape de salida en los metadatos de las publicaciones proporcionados por el usuario, hace que sea posible para atacantes autenticados explotar esta vulnerabilidad. Al insertar el shortcode ‘cpt’ en las páginas, los scripts web arbitrarios pueden ser ejecutados cuando un usuario accede a la página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Custom Field Template inmediatamente. Además, se aconseja a los administradores de sitios web realizar una revisión exhaustiva de las páginas y entradas en busca de contenido no autorizado.