La vulnerabilidad en el plugin YayExtra – WooCommerce Extra Product Options para WordPress permite la subida de archivos arbitrarios sin autenticación debido a la falta de validación del tipo de archivo en la función handle_upload_file en todas las versiones hasta, e incluyendo, la 1.3.7.
Esto significa que los atacantes no autenticados pueden subir archivos arbitrarios en el servidor del sitio afectado, lo que puede llevar a la ejecución remota de código. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, así como restringir el acceso al área de administración a usuarios de confianza y mantener copias de seguridad actualizadas del sitio.
Es fundamental para la seguridad de un sitio web WordPress estar al tanto de las vulnerabilidades que afectan a los plugins utilizados y tomar medidas proactivas para protegerse contra posibles ataques. En este caso, la actualización del plugin YayExtra – WooCommerce Extra Product Options es crucial para evitar la subida de archivos arbitrarios.