La vulnerabilidad CVE-2024-5852, también conocida como ‘Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)’, afecta al plugin WordPress File Upload en versiones hasta la 4.24.7. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso Contributor y superior, cargar archivos en ubicaciones arbitrarias en el servidor web.
La vulnerabilidad se encuentra en el parámetro ‘uploadpath’ del shortcode wordpress_file_upload. Esto significa que los usuarios con credenciales de Contributor o superiores pueden explotar esta vulnerabilidad para cargar archivos en ubicaciones restringidas del servidor, lo que podría conducir a la ejecución de código malicioso o la manipulación no autorizada de archivos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin WordPress File Upload a la última versión disponible y restringir el acceso a los usuarios con privilegios mínimos necesarios. Además, se puede considerar la implementación de firewalls de aplicaciones web para monitorear y bloquear posibles ataques de travesía de directorio en tiempo real.