La vulnerabilidad CVE-2024-1382 en el plugin Restaurant Reservations para WordPress permite a atacantes autenticados con nivel de contribuidor o superior, incluir y ejecutar archivos PHP arbitrarios en el servidor.
La vulnerabilidad de Inclusión de Archivos Locales en la versión 1.9 y anteriores del plugin Restaurant Reservations para WordPress se produce a través del atributo nd_rst_layout del shortcode nd_rst_search. Esto permite a los atacantes autenticados con nivel de contribuidor o superior incluir y ejecutar archivos PHP arbitrarios en el servidor, lo que les da la capacidad de ejecutar cualquier código PHP presente en esos archivos. Esto puede ser utilizado para evadir controles de acceso, obtener datos sensibles o lograr la ejecución de código en casos donde un archivo PHP subido no sea directamente accesible.
Para mitigar esta vulnerabilidad, los usuarios deben actualizar el plugin Restaurant Reservations a la versión más reciente. Además, se recomienda limitar los privilegios de los usuarios, especialmente aquellos con roles de contribuidor o superior, y vigilar de cerca cualquier actividad inusual en el sitio web.