El plugin Pojo Forms para WordPress es vulnerable a la ejecución arbitraria de shortcodes a través de la acción AJAX form_preview_shortcode en todas las versiones hasta, e incluyendo, la 1.4.7. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, ejecuten shortcodes arbitrarios. Esto fue parcialmente solucionado en la versión 1.4.8.
Los usuarios de Pojo Forms deben actualizar a la versión 1.4.8 o posterior para mitigar esta vulnerabilidad. Además, se recomienda limitar el acceso a roles de usuario con privilegios mínimos necesarios para reducir el riesgo de explotación. Se insta a los administradores de sitios web a revisar regularmente los plugins y temas instalados en busca de posibles vulnerabilidades y a aplicar parches de seguridad tan pronto como estén disponibles.
La ejecución de shortcodes arbitrarios a través del plugin Pojo Forms hasta la versión 1.4.7 representa un riesgo de seguridad significativo para los sitios web de WordPress. Mantener todos los plugins y temas actualizados, así como restringir cuidadosamente los privilegios de usuario, son prácticas recomendadas para protegerse contra posibles ataques.