El plugin Custom Field Suite para WordPress es vulnerable a Inyección de Código PHP en todas las versiones hasta la 2.6.7 a través del campo personalizado de Loop. Esto se debe a una sanitización insuficiente de la entrada antes de ser utilizada en una llamada a la función eval(). Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, ejecutar código PHP arbitrario en el servidor.
Los usuarios afectados por esta vulnerabilidad en el plugin Custom Field Suite deben actualizar a la versión 2.6.8 o superior lo antes posible para mitigar el riesgo de inyección de código. Además, se recomienda no otorgar permisos de contribuidor o superior a usuarios no confiables para limitar el impacto de posibles ataques de inyección de código.
Es crucial mantener los plugins de WordPress actualizados regularmente y evitar conceder permisos de usuario altos a personas no verificadas para garantizar la seguridad de tu sitio web frente a vulnerabilidades como la inyección de código PHP en Custom Field Suite.