La vulnerabilidad CVE-2024-4033 permite a atacantes autenticados cargar archivos arbitrarios en servidores de sitios afectados por el plugin All-in-One Video Gallery para WordPress, lo que puede resultar en la ejecución remota de código.
El plugin All-in-One Video Gallery para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función aiovg_create_attachment_from_external_image_url en todas las versiones hasta, e incluyendo, la 3.6.4. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, cargar archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
Para protegerse contra esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin All-in-One Video Gallery a la última versión disponible y limitar los permisos de los usuarios autenticados para evitar posibles ataques de carga de archivos arbitrarios.