El plugin WooCommerce Support Ticket System para WordPress es vulnerable a la eliminación de archivos arbitrarios debido a una validación insuficiente de la ruta del archivo en la función delete_tmp_uploaded_file() en todas las versiones hasta, e incluyendo, la 17.7. Esto permite que atacantes no autenticados eliminen archivos arbitrarios en el servidor, lo que puede llevar fácilmente a la ejecución remota de código cuando se elimina el archivo correcto (como wp-config.php).
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente a la última versión del plugin WooCommerce Support Ticket System para evitar posibles ataques de eliminación de archivos no autenticados. Además, se recomienda restringir el acceso al panel de administración de WordPress únicamente a usuarios autorizados y utilizar medidas adicionales de seguridad como plugins de seguridad y firewalls para proteger el sitio contra posibles exploitaciones de esta vulnerabilidad.
Es fundamental tomar medidas proactivas para proteger los sitios web de WordPress de vulnerabilidades como la encontrada en WooCommerce Support Ticket System <= 17.7. Al mantenerse actualizado y seguir buenas prácticas de seguridad, los usuarios pueden mitigar el riesgo de sufrir consecuencias graves debido a explotaciones de este tipo de vulnerabilidades.