El plugin Display custom fields in the frontend – Post and User Profile Fields para WordPress es vulnerable a una Inyección de código autenticado a través del shortcode vg_display_data en todas las versiones hasta, e incluyendo, la 1.2.1 debido a una validación insuficiente de la entrada y restricciones de acceso a ese shortcode. Esto permite que atacantes autenticados con permisos de nivel contributor y superiores llamen a funciones arbitrarias y ejecuten código.
El plugin Display custom fields in the frontend – Post and User Profile Fields tiene una falla de seguridad que permite a usuarios autenticados con permisos de nivel contributor y superiores inyectar y ejecutar código malicioso a través del shortcode vg_display_data. Esta vulnerabilidad se debe a la falta de validación adecuada y restricciones de acceso en el código del plugin.
Los usuarios pueden evitar esta vulnerabilidad manteniendo el plugin actualizado a la última versión disponible. Además, es recomendable restringir los permisos de usuario para limitar el acceso a funciones y códigos potencialmente peligrosos.
Ante cualquier indicio de actividad maliciosa o inusual en el sitio web, se recomienda escanear el sistema en busca de malware y aplicar medidas de seguridad adicionales, como el uso de plugins de seguridad o la auditoría regular de archivos y registros del sitio.
La Inyección de código autenticado en el plugin Display custom fields in the frontend – Post and User Profile Fields puede ser explotada por atacantes con permisos de nivel contributor y superiores. Para protegerse, es importante mantener el plugin actualizado y restringir los permisos de usuario. Además, se deben tomar medidas de seguridad adicionales, como la implementación de soluciones de seguridad y la monitorización constante del sitio web para detectar actividades maliciosas.