La vulnerabilidad CVE-2024-5441 en el plugin Modern Events Calendar para WordPress permite a atacantes autenticados (con acceso de suscriptor y superior) cargar archivos arbitrarios en el servidor del sitio afectado, lo que podría permitir la ejecución remota de código.
La función set_featured_image del plugin no realiza validación de tipo de archivo, lo que posibilita la carga de archivos peligrosos. Los atacantes podrían aprovechar esta vulnerabilidad para comprometer el sitio web y ejecutar código malicioso. Se recomienda a los usuarios actualizar el plugin a la última versión disponible, y evitar otorgar acceso a la carga de archivos a usuarios no autenticados.
Es crucial mantener actualizados todos los plugins de WordPress para mitigar el riesgo de ser víctima de ataques como la carga de archivos arbitrarios. La seguridad en la configuración del sistema también es fundamental para prevenir la explotación de vulnerabilidades conocidas.