El plugin WS Form LITE para WordPress es vulnerable a Inyección CSV en las versiones hasta, e incluyendo, la 1.9.217. Esta vulnerabilidad permite a atacantes no autenticados incrustar datos no confiables en archivos CSV exportados, lo que puede resultar en la ejecución de código al descargar y abrir estos archivos en un sistema local con una configuración vulnerable.
La vulnerabilidad CVE-2023-5424 se produce debido a una falta de neutralización adecuada de elementos de fórmulas en un archivo CSV. Los atacantes pueden aprovechar esto para insertar comandos maliciosos en los archivos CSV exportados, lo que representa un riesgo significativo para la integridad y seguridad de los sistemas afectados. Los usuarios deben actualizar el plugin WS Form LITE a la versión más reciente disponible y revisar los archivos CSV exportados en busca de posibles comandos maliciosos antes de abrirlos.
Es fundamental que los usuarios patcheen sus instalaciones de WS Form LITE lo antes posible para mitigar el riesgo de Inyección CSV no autenticada. La seguridad de su sitio web de WordPress y la integridad de sus datos dependen de mantener todos los plugins actualizados y de ser proactivos en la detección de posibles amenazas.