La vulnerabilidad de ejecución de código remoto CVE-2024-3105 afecta al plugin Woody code snippets – Insert Header Footer Code, AdSense Ads para WordPress en versiones hasta 2.5.0. Esta vulnerabilidad permite a atacantes autenticados con nivel de contribuidor o superior ejecutar código en el servidor.
La vulnerabilidad de ejecución de código remoto en el plugin Woody code snippets se debe a una falta de control adecuado en la generación de código (‘Code Injection’). El problema radica en que el plugin no restringe el uso de la funcionalidad a usuarios autorizados de alto nivel. Por lo tanto, cualquier usuario autenticado con nivel de contribuidor o superior puede aprovechar el shortcode ‘insert_php’ para ejecutar código malicioso en el servidor afectado. Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible. Además, se sugiere restringir el acceso al panel de administración de WordPress solo a usuarios de confianza con los roles adecuados para reducir el riesgo de compromiso del sitio.
Es fundamental que los administradores de sitios WordPress estén al tanto de esta vulnerabilidad en el plugin Woody code snippets – Insert Header Footer Code, AdSense Ads y tomen medidas para proteger sus sitios. La actualización a la última versión del plugin y la implementación de medidas de seguridad adicionales pueden ayudar a mitigar el riesgo de explotación de esta vulnerabilidad.