El plugin Dynamics 365 Integration para WordPress presenta una vulnerabilidad que permite a atacantes autenticados llevar a cabo la ejecución remota de código y la lectura de archivos arbitrarios a través de la Inyección de Plantillas del lado del servidor con Twig.
La vulnerabilidad CVE-2024-12583 reside en la falta de neutralización adecuada de elementos especiales utilizados en un motor de plantillas, lo que permite a atacantes autenticados con acceso de nivel Contribuidor y superior ejecutar código en el servidor. Esta vulnerabilidad se encuentra en todas las versiones hasta la 1.3.23 del plugin. La falta de validación y saneamiento de entradas en la función de renderización es la causa raíz de este problema.
Se recomienda a los usuarios de Dynamics 365 Integration que actualicen a la versión más reciente disponible y que refuercen las medidas de seguridad en sus sitios, como limitar los privilegios de los usuarios y realizar revisiones de código periódicas para detectar posibles vulnerabilidades en el código personalizado.