El plugin de WordPress 3D FlipBook, PDF Viewer, PDF Embedder – Real 3D FlipBook es vulnerable a la subida arbitraria de archivos debido a la falta de validación de tipos de archivo en la función ‘r3dfb_save_thumbnail_callback’ en todas las versiones hasta, e incluyendo, la 4.6. Esto permite que atacantes autenticados, con acceso de nivel Autor y superior, suban archivos arbitrarios en el servidor del sitio afectado, lo que podría permitir la ejecución remota de código.
Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como esté disponible. Además, se recomienda restringir estrictamente los permisos de los roles de usuario en WordPress para limitar el acceso de los autores y otros roles a la capacidad de cargar archivos. También se sugiere monitorear de cerca cualquier actividad sospechosa en el sitio para detectar posibles intentos de explotación de esta vulnerabilidad.
Es fundamental que los usuarios de WordPress tomen medidas proactivas para proteger sus sitios de posibles vulnerabilidades como la descrita en este informe. Actualizar regularmente los plugins y temas, así como implementar buenas prácticas de seguridad, son pasos clave para garantizar la integridad y la seguridad de un sitio web en WordPress.