O plugin Shortcodes Ultimate, usado em mais de 700.000 sites WordPress para criar coisas como guias, botões e acordeões, corrigiu uma vulnerabilidade na versão 5.12.1. O changelog do plugin simplesmente diz: “Esta atualização corrige uma vulnerabilidade de segurança no gerador de shortcode. Para crédito do autor, o changelog claramente o denota como uma atualização de segurança, embora não ofereça detalhes específicos.
A vulnerabilidade foi relatada pelo pesquisador Dave Jong no Patchstack e é registrada no National Vulnerability Database (NVD) como uma vulnerabilidade Cross-Site Request Forgery (CSRF) que leva à alteração das configurações predefinidas do plug-in. Foi corrigido há duas semanas e o NVD publicou o aviso esta semana.
Neste momento, não se sabe que a vulnerabilidade foi explorada, mas os usuários são aconselhados a atualizar para a versão mais recente. Com base nas estatísticas do WordPress.org, 46% da base de usuários do plug-in está sendo executada em versões anteriores à 5.12.x. Desde então, o autor do plugin Shortcodes Ultimate lançou a versão 5.12.2, que corrige um problema com as predefinições do gerador de shortcode que foi introduzida na atualização anterior.
