La vulnerabilidad de Inclusión Local de Archivos en el complemento WordPress Post Grid Layouts con Paginación – Sogrid hasta la versión 1.5.2 a través del parámetro ‘tab’ permite a atacantes autenticados, con acceso de nivel Administrador y superior, incluir y ejecutar archivos arbitrarios en el servidor, lo que posibilita la ejecución de código PHP. Esto puede ser aprovechado para eludir controles de acceso, obtener datos sensibles o lograr la ejecución de código en situaciones donde se puedan subir e incluir imágenes y otros tipos de archivos “seguros”.
La vulnerabilidad CVE-2024-8392 conocida como ‘Improper Control of Filename for Include/Require Statement in PHP Program’ se debe a la falta de validación adecuada en el parámetro ‘tab’ del complemento Sogrid. Para mitigar este problema, se recomienda a los usuarios actualizar el complemento a la última versión disponible, en este caso, a partir de la versión 1.5.3. Además, es importante limitar el acceso de los roles de usuario a funciones administrativas y mantener siempre actualizado WordPress y sus complementos.
Es crucial que los administradores de sitios web que utilicen el complemento WordPress Post Grid Layouts con Paginación – Sogrid tomen medidas para proteger sus sitios contra posibles ataques de inclusión local de archivos. La actualización regular de software y la limitación de privilegios de usuario pueden ayudar a prevenir este tipo de vulnerabilidades y garantizar la seguridad de sus sitios web.