La vulnerabilidad CVE-2024-8254 afecta al plugin de WordPress Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce en versiones hasta la 5.7.34. Esta vulnerabilidad permite a usuarios autenticados con nivel de acceso de Suscriptor o superior ejecutar shortcodes de forma arbitraria.
La raíz del problema radica en la falta de validación adecuada de un valor antes de ejecutar do_shortcode, lo que permite a un atacante autenticado aprovechar esta vulnerabilidad para ejecutar shortcodes arbitrarios. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible. Además, se sugiere restringir los niveles de acceso de los usuarios en el sitio web para limitar la posibilidad de explotación de esta vulnerabilidad.
Mantener siempre actualizados los plugins es crucial para garantizar la seguridad de un sitio web en WordPress. En este caso, la actualización a la versión más reciente del plugin Email Subscribers by Icegram Express es fundamental para protegerse contra posibles ataques de ejecución de shortcodes de forma arbitraria.