El plugin 简数采集器 (Keydatas) para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función keydatas_downloadImages en todas las versiones hasta, e incluyendo, la 2.5.2. Esto permite a atacantes no autenticados subir archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
Los usuarios afectados deben tomar medidas inmediatas para proteger sus sitios. Una solución rápida es desactivar el plugin 简数采集器 (Keydatas) si no es esencial para el funcionamiento del sitio y confirmar que se está utilizando la última versión del plugin una vez que se lance una actualización que aborde esta vulnerabilidad. También se recomienda restringir el acceso no autorizado a la funcionalidad de carga de archivos en el sitio para mitigar el riesgo de subida de archivos arbitrarios.
Es crucial para los propietarios de sitios de WordPress estar al tanto de las vulnerabilidades en plugins y temas para garantizar la seguridad de sus sitios. Con medidas proactivas como mantenerse actualizado con las últimas versiones de plugins y temas, así como implementar controles de acceso adecuados, se puede reducir significativamente el riesgo de compromiso de seguridad.