CVE-2024-13453

Nome do Software Vulnerável e Versões Afetadas O plugin Contact Form & SMTP para WordPress da PirateForms, versões até e incluindo a 2.6.0

Descrição O problema surge porque o software permite que os usuários executem uma ação que não valida corretamente um valor antes de executar do shortcode. Isso possibilita que atacantes não autenticados executem shortcodes arbitrários. O problema deve-se à validação insuficiente de um valor, o que permite a execução de shortcodes arbitrários por atacantes sem autenticação.

Recomendações Para versões até e incluindo a 2.6.0, atualize para uma versão superior à 2.6.0 para resolver o problema. Como medida paliativa temporária, considere restringir o acesso à função do shortcode até que um patch esteja disponível. Evite utilizar o plugin até que o problema seja resolvido.