La vulnerabilidad CVE-2024-8479 en el plugin de WordPress Simple Spoiler permite la ejecución arbitraria de shortcodes en las versiones 1.2 a 1.3. Esto se debe a la adición del filtro add_filter(‘comment_text’, ‘do_shortcode’); que ejecutará todos los shortcodes en comentarios, lo que permite a atacantes no autenticados ejecutar shortcodes arbitrarios.
Para mitigar esta vulnerabilidad en Simple Spoiler, se recomienda desactivar temporalmente el plugin si no es esencial para el funcionamiento del sitio web. Los usuarios también pueden buscar actualizaciones del plugin para corregir esta vulnerabilidad y mantener siempre actualizados todos los plugins y temas de WordPress. Adicionalmente, se aconseja limitar los privilegios de los usuarios para reducir el impacto de posibles ataques.
Es crucial tomar medidas para proteger los sitios web de WordPress de vulnerabilidades como la encontrada en Simple Spoiler 1.2 – 1.3. Al seguir las recomendaciones mencionadas, los usuarios pueden reducir el riesgo de ejecución de código arbitrario y mantener la seguridad de sus sitios web.