La vulnerabilidad CVE-2024-10770 en el plugin Envo Extra para WordPress permite la divulgación de información en todas las versiones hasta, e incluyendo, la 1.9.3 a través del shortcode ‘elementor-template’ debido a restricciones insuficientes sobre qué posts pueden ser incluidos. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, extraer datos de posts privados o en borrador creados por Elementor a los que no deberían tener acceso.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente a la última versión del plugin Envo Extra para evitar la divulgación no autorizada de información confidencial. Además, se recomienda evitar la inclusión de información sensible en posts o páginas que puedan ser accedidos por usuarios con permisos de Contributor o superiores.
Es crítico para los usuarios de WordPress mantener sus plugins actualizados regularmente y seguir las mejores prácticas de seguridad para proteger su sitio de posibles vulnerabilidades como la divulgación de información de posts autenticados en el plugin Envo Extra.