La vulnerabilidad CVE-2024-10959, catalogada como ‘Improper Control of Generation of Code (‘Code Injection’)’, afecta al plugin The Active Products Tables for WooCommerce. Use constructor to create tables en su versión 1.0.6.5 y anteriores. Esta vulnerabilidad permite a atacantes no autenticados ejecutar shortcodes arbitrarios a través de la acción AJAX woot_get_smth.
La vulnerabilidad radica en la falta de validación adecuada de los valores antes de ejecutar la función do_shortcode, lo que permite a un atacante no autenticado introducir y ejecutar shortcodes arbitrarios. Como solución, se recomienda actualizar el plugin a una versión más reciente que contenga una corrección para esta vulnerabilidad. Adicionalmente, se sugiere a los usuarios restringir el acceso al panel de administración de WordPress únicamente a usuarios autorizados y mantener todas las aplicaciones, plugins y temas actualizados para evitar posibles brechas de seguridad.
Es crucial para la seguridad de tu sitio web mantener todos los componentes actualizados y seguir las mejores prácticas de seguridad para prevenir la ejecución de código arbitrario y proteger la integridad de tus datos.