La vulnerabilidad CVE-2024-10970 en el plugin Motors – Car Dealer, Classifieds & Listing para WordPress permite a atacantes autenticados con nivel de acceso de Suscriptor o superior ejecutar shortcodes arbitrarios.
La vulnerabilidad radica en la falta de control adecuado de la generación de código (‘Code Injection’) en el plugin Motors – Car Dealer, Classifieds & Listing. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Como resultado, los atacantes autenticados con nivel de acceso de Suscriptor o superior pueden ejecutar shortcodes arbitrarios.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Motors – Car Dealer, Classifieds & Listing a la última versión disponible. Además, se aconseja revisar y limitar los privilegios de los usuarios en WordPress para reducir el riesgo de ataques.