La vulnerabilidad CVE-2023-6999 revela una ejecución remota de código en el plugin Pods – Tipos de Contenido y Campos Personalizados para WordPress, a través de un shortcode en versiones hasta la 3.0.10 (excluyendo 2.7.31.2, 2.8.23.2, 2.9.19.2). Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, ejecutar código en el servidor.
La vulnerabilidad se debe a una neutralización inadecuada de elementos especiales utilizados en un comando (‘Inyección de Comandos’). Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin, en este caso la 3.0.11. Además, se sugiere restringir el acceso de los usuarios a roles menos privilegiados para reducir el riesgo de ataques de ejecución remota de código.
Es crucial que los usuarios de Pods – Tipos de Contenido y Campos Personalizados estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger sus sitios web, ya que un atacante autenticado podría causar graves daños si se aprovecha de esta vulnerabilidad.