La vulnerabilidad CVE-2024-10855 en el complemento Image Optimizer, Resizer y CDN – Sirv para WordPress permite a atacantes autenticados, con acceso de Contribuyente o superior, eliminar valores de opciones arbitrarias en el sitio de WordPress.
La vulnerabilidad radica en la falta de validación suficiente en el parámetro de nombre de archivo de la función sirv_upload_file_by_chunks() y la falta de autorización en todas las versiones hasta, e incluyendo, la 7.3.0. Esto permite a los atacantes autenticados con acceso de Contribuyente o superior eliminar valores de opciones arbitrarias en el sitio de WordPress. Esto podría ser utilizado para generar un error en el sitio y bloquear el acceso a usuarios legítimos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del complemento Image Optimizer, Resizer y CDN – Sirv. Además, se debe seguir las mejores prácticas de seguridad, como limitar los privilegios de los usuarios y monitorear de cerca cualquier actividad inusual en el sitio WordPress.